1. O gênero é considerado pii?
O gênero não é explicitamente mencionado como dados pessoais sensíveis sob o GDPR. No entanto, é importante observar que qualquer informação pessoal que possa ser usada para identificar um indivíduo, incluindo gênero, ainda pode estar sujeita a regulamentos e considerações de proteção de dados.
2. O que é considerado dados pessoais sensíveis?
Dados pessoais sensíveis incluem dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, associação de união comercial, dados genéticos, dados biométricos processados ​​apenas para identificar um ser humano, dados relacionados à saúde e dados sobre a vida sexual de uma pessoa ou orientação sexual.
3. Como o PII é definido?
PII, ou informações pessoalmente identificáveis, são dados que podem ser usados ​​para identificar um indivíduo. Isso pode incluir informações como nome, endereço, email, número do Seguro Social ou qualquer outro elemento de dados que possa identificar diretamente uma pessoa específica.
4. Qual é a diferença entre dados vinculáveis ​​e não possíveis?
Dados vinculáveis ​​referem -se a elementos de dados exclusivos que podem identificar diretamente um indivíduo específico, como um nome ou número do Seguro Social. Dados unificáveis, por outro lado, referem -se a dados generalizados que descrevem a identidade de uma pessoa, como gênero, idade ou renda, que não podem ser usados ​​para identificar diretamente um indivíduo específico.
5. Por que o gerenciamento e garantia do PII é importante para as empresas?
Gerenciar e proteger o PII é crucial para as empresas proteger a privacidade e a segurança das informações pessoais de seus usuários. Não fazer isso pode resultar em danos substanciais, vergonha, inconveniência ou injustiça aos indivíduos. Além disso, o cumprimento dos regulamentos de proteção de dados, como o GDPR, é essencial para evitar consequências legais e manter a confiança do cliente.
6. Como o Departamento de Energia dos EUA define PII de alto risco?
O Departamento de Energia dos EUA define PII de alto risco como informações que, se perdidas, comprometidas ou divulgadas sem autorização, podem resultar em danos substanciais, vergonha, inconveniência ou injustiça a um indivíduo. Isso inclui dados como números de previdência social, informações de saúde e informações médicas, registros biométricos, informações financeiras e informações usadas para autorizações de segurança.
7. Quais são alguns outros termos usados ​​para se referir a pii?
O PII pode ser referido como informações pessoais, dados pessoais ou informações confidenciais, dependendo dos regulamentos e leis específicos.
8. Quais dados precisam ser protegidos?
Qualquer informação pessoal que possa ser usada para identificar um indivíduo, como nome, endereço, número do Seguro Social ou email, precisa ser protegido para garantir a privacidade e a segurança dos dados dos indivíduos.
9. Como as empresas podem proteger PII?
As empresas podem proteger o PII implementando fortes medidas de segurança de dados, como criptografia, controles de acesso e auditorias regulares de segurança. Implementar políticas de privacidade, obter o consentimento do usuário e fornecer informações claras sobre como os dados pessoais são coletados e usados ​​também são etapas essenciais para proteger o PII.
10. Como o Skyflow Data Privacy Vault ajudou no gerenciamento de pii?
Skyflow Data Privacy Vault é uma solução que ajuda as empresas a gerenciar e proteger com segurança o PII. Ele fornece um ambiente seguro para armazenar e gerenciar dados confidenciais, com recursos como criptografia, tokenização e controles rígidos de acesso para garantir a privacidade e segurança de dados.
11. Quais são as condições específicas de processamento para dados pessoais sensíveis?
As condições específicas de processamento para dados pessoais sensíveis podem variar dependendo das leis e regulamentos de proteção de dados aplicáveis. No entanto, em geral, o processamento de dados pessoais sensíveis requer um nível mais alto de proteção e pode exigir a obtenção de consentimento explícito de indivíduos ou atender aos requisitos adicionais para garantir o processamento legal e seguro.
12. Como o GDPR define dados pessoais sensíveis?
O GDPR não define explicitamente dados pessoais sensíveis. Em vez disso, refere -se a dados pessoais sensíveis como “categorias especiais de dados pessoais.”Isso inclui dados que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, associação de união comercial, dados genéticos, dados biométricos processados ​​apenas para identificar um ser humano, dados relacionados à saúde e dados sobre a vida sexual de uma pessoa ou orientação sexual.
13. Quais são as principais considerações para lidar com dados pessoais sensíveis?
Ao lidar com dados pessoais sensíveis, as empresas devem garantir que as medidas de segurança apropriadas estejam em vigor para proteger os dados do acesso ou divulgação não autorizada. Eles também devem cumprir os requisitos legais aplicáveis, como obter consentimento específico para processar dados confidenciais e fornecer aos indivíduos informações claras e transparentes sobre como seus dados estão sendo usados.
14. Como as empresas podem garantir a conformidade com os contratos de proteção de dados?
Para garantir a conformidade com os acordos de proteção de dados, as empresas devem revisar e entender as leis e regulamentos aplicáveis, estabelecer políticas e procedimentos completos de proteção de dados, treinar funcionários nas melhores práticas de proteção de dados, avaliar e atualizar regularmente medidas de segurança de dados e procurar um advogado, se necessário.
15. Quais são as possíveis consequências de violar os contratos de segurança da informação?
A violação de acordos de segurança da informação pode levar a várias consequências, incluindo responsabilidades legais, multas financeiras, danos à reputação e confiança do cliente e perda de oportunidades de negócios. É crucial para as empresas levarem a segurança da informação a sério e priorizar a proteção de dados pessoais.

O que é PII

Como o GDPR está abalando tudo no minuto em que estou trabalhando em algumas alterações em nosso site/processo. Trabalho em comércio eletrônico em UX (britânico) e apoio equipes de marketing com determinadas atividades. Minha pergunta é: o gênero de um indivíduo conta como pii? Armazenamos o gênero em uma camada de dados como uma variável JavaScript que é mantida em nosso próprio negócio, podemos optar por passar essas variáveis ​​para uma plataforma de teste para atingir indivíduos com base na presença dessas variáveis. Como não sou uma pessoa legal/tipo de dados, não tenho 100% de certeza se por nós armazenar e ter os meios para passar o sexo de uma pessoa (retirado das informações que obtemos quando elas criam uma conta conosco) para terceiros, estamos violando qualquer tipo de acordos de segurança da informação? Se isso se resume à política da empresa etc. Então me avise e vou encerrar a pergunta, pois não é realmente para aqui.

Quais dados pessoais são considerados sensíveis?

Os seguintes dados pessoais são considerados ‘confidencial’ e está sujeito a condições específicas de processamento:

  • dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas;
  • associação ao união comercial;
  • Dados genéticos, dados biométricos processados ​​apenas para identificar um ser humano;
  • dados relacionados à saúde;
  • dados sobre uma pessoa’s vida sexual ou orientação sexual.

Referências

  • Artigo 4 (13), (14) e (15) Anderticle 9 e Recitais (51) a (56) do GDPR

Compartilhe esta página

Este site é gerenciado pela Direção Geral para Comunicação

  • Estratégia
  • Sobre a Comissão Europeia
  • Negócios, Economia, Euro
  • Viver, trabalhar, viajar na UE
  • Lei
  • Financiamento, propostas
  • Pesquisa e inovação
  • Energia, mudança climática, ambiente
  • Educação
  • Ajuda, cooperação para o desenvolvimento, direitos fundamentais
  • Comida, agricultura, pesca
  • Desenvolvimento Regional e Urbano da UE
  • Empregos na Comissão Europeia
  • Estatisticas
  • Notícias
  • Eventos
  • Publicações
  • Entre em contato com a Comissão Europeia
  • Acessibilidade
  • Siga a Comissão Europeia em mídia social
  • Recursos para parceiros
  • Idiomas em nossos sites
  • Biscoitos
  • Política de Privacidade
  • Notícia legal

O que é PII?

O que é PII? As definições variam, mas em geral, informações pessoalmente identificáveis, ou PII, são dados que podem ser usados ​​para identificar um indivíduo. Para um usuário do seu produto, o PII deles é os dados que eles inseram para se identificar ao criar uma conta, como um endereço de e -mail ou um número de telefone.

Dados PII consistem em “vincável” e “desenhável” dados. Dados generalizados que descrevem uma pessoa’s identidade, como gênero, idade, data de nascimento, geolocalização, renda ou qualquer outra coisa que não possa ser usada para identificar diretamente um indivíduo específico é chamado de “dados não possíveis.”Elementos de dados exclusivos, como nome, endereço, email, número do Seguro Social ou outras informações que podem ser usadas para identificar diretamente um indivíduo específico, é chamado de” dados vinculáveis.”

O conceito de PII existe há algum tempo, mas recentemente se tornou mais importante do que nunca para as empresas gerenciarem e proteger o PII que eles lidam.

Neste post, nós’Veja os diferentes tipos de PII, que tipos de informação podem ser considerados pii, por que proteger a privacidade e a segurança do PII é mais importante agora do que nunca e como o cofre de privacidade de dados do Skyflow pode ajudar.

Nem todo PII é criado igual

Várias autoridades definem o PII de maneiras diferentes, então um bom lugar para começar é considerar O que alguém pode fazer Com uma informação. Por exemplo, enquanto uma data de nascimento é considerada “desenhável” dados, podem ser usados ​​em conjunto com “vincável” Dados para ignorar os métodos de autenticação e obter acesso a recursos on -line vitais, como contas bancárias e registros de saúde.

Até este ponto, o Departamento de Energia dos EUA define “Alto risco” Pii como informação que “Se perdido, comprometido ou divulgado sem autorização, pode resultar em danos substanciais, vergonha, inconveniência ou injustiça a um indivíduo.” Isso inclui dados como números de previdência social, informações de saúde e informações médicas, registros biométricos (como impressões digitais e DNA), informações financeiras (por exemplo, números de cartão de crédito, relatórios de crédito e números de contas bancárias) e informações usadas para autorizações de segurança. Em outras palavras, o PII de alto risco é qualquer dados que represente um risco muito maior do que outros dados para um indivíduo se cair nas mãos de um ator malicioso.

Além disso, regulamentos e leis geralmente se referem ao PII por muitos outros termos, como “informações pessoais,” “dados pessoais,” ou “informação sensível.” Por fim, no entanto, todos eles se aproximam da mesma coisa: dados sobre um indivíduo que, devido ao seu potencial de causar danos, precisam ser especialmente protegidos.

Assim, à medida que as empresas trabalham para proteger o PII, essas questões permanecem: quais dados precisam ser protegidos? E o que se qualifica como pii?

PII se torna uma prioridade para os reguladores

À medida que as empresas começaram a coletar mais dados através da proliferação de aplicativos e serviços baseados em nuvem, os governos introduziram novos regulamentos de dados para garantir que as empresas estejam tomando medidas para proteger esses dados. A UE’S GDPR e Califórnia’A CPRA criou regulamentos sobre como o PII é coletado, armazenado e transalizado. Esses regulamentos ampliaram a definição de PII e exigem que as empresas repensem como elas coletam, armazenam e processam PII.

Em muitos casos, as empresas tiveram que fazer investimentos significativos, construir processos completamente novos e adotar novas tecnologias para entender melhor o que o PII coletam e como ela viaja pela organização deles. Muitas vezes, isso significa que remonta seus lojas de dados ou lagos de dados para ganhar mais controle de granulação sobre como eles acessam e usam PII. Para muitas empresas, isso resultou em uma colcha de retalhos de soluções de privacidade de dados que criam mais despesas gerais sem oferecer muita proteção adicional para PII.

Diferentes regulamentos definem PII de maneira diferente

Diferentes leis e regulamentos de privacidade definem PII de maneira diferente e têm requisitos diferentes de como o PII é armazenado, manipulado, distribuído e auditado. Também existem regras em torno dos direitos de um indivíduo para solicitar detalhes sobre quais dados são coletados, como são usados ​​e sua exclusão.

No entanto, como a tecnologia e a infraestrutura baseada em nuvem ampliaram os horizontes das empresas, a fim de competir em um mercado global, as empresas geralmente decidem aderir às políticas mais rigorosas para se encontrar todos políticas.

PII sob CPRA

Embora os Estados Unidos ainda não tenham passado uma lei de privacidade abrangente semelhante à UE’S GDPR, Estados individuais adotaram suas próprias leis e requisitos. Califórnia’s leis de privacidade estão entre as mais rigorosas do país. E, graças ao estado’tamanho, economia e influência como epicentro de inovação tecnológica, as empresas de outras partes dos EUA tendem a alinhar suas práticas de privacidade de dados com as da Califórnia.

A nova Lei de Direitos de Privacidade da Califórnia (CPRA) – que altera 2018’S California Consumer Privacy Act (CCPA) – define um novo nível de dados conhecido como “Informações pessoais sensíveis” (Spi). Informações pessoais sensíveis incluem ID de login e senha, geolocalização precisa, raça e etnia, orientação sexual e dados genéticos. CPRA também expande a proteção dos residentes da Califórnia’ informações pessoais além do consumidor (“negócio para consumidor” ou “B2C”) dados isso’está dentro do escopo da CCPA. Com CPRA, dados de negócios para negócios (B2B), dados de RH e informações pessoais mantidas em outros contextos têm as mesmas proteções que os dados do consumidor.

PII sob GDPR

O Regulamento Geral de Proteção de Dados (GDPR) é a UE’S Conjunto de requisitos de privacidade que regem as duas empresas que conduzem negócios na UE ou com os residentes da UE. Semelhante ao CPRA, devido à importância econômica dos mercados da UE e à rigor do GDPR, tornou -se o padrão de privacidade de dados para empresas de todo o mundo.

GDPR expande a definição de PII (ou “dados pessoais” como é referido na própria legislação) para incluir informações financeiras, credenciais de login, dados biométricos, fotografias que apresentam claramente um indivíduo, dados de localização geográfica, raça, gênero, opiniões políticas, crenças religiosas ou filosóficas, IDs de cookies e endereços IP. Isso faz do GDPR’S definição muito mais extensa do que a definição básica de dados pessoais que inclui o básico como o primeiro e o sobrenome e o endereço residencial.

Mais especificamente, o artigo 4 do GDPR define dados pessoais como: “Qualquer informação relacionada a uma pessoa natural identificada ou identificável (“Dados titular”); Uma pessoa natural identificável é quem pode ser identificado, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on -line ou um ou mais fatores específicos para a pessoa física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.”

Aqui’é uma ilustração de alguns dos tipos de dados que a qualidade como dados pessoais em:

PII de acordo com o NIST

O Instituto Nacional de Ciência e Tecnologia (NIST) compilou um guia para proteger a confidencialidade do PII que serve como um padrão de fato para organizações de ciência e tecnologia que trabalham com o governo dos EUA.

O NIST inclui o seguinte como pii:

  • Nome, como nome completo, nome de solteira, nome de solteira da mãe ou pseudônimo
  • Número de identificação pessoal, como o número do Seguro Social (SSN), o número do passaporte, o número da carteira de motorista, o número de identificação dos contribuintes ou a conta financeira ou o número do cartão de crédito
  • Abordar as informações, como endereço de rua ou endereço de e -mail
  • Características pessoais, incluindo imagem fotográfica (especialmente de rosto ou outra característica de identificação), impressões digitais, manuscrito ou outros dados biométricos (e.g., Scan de retina, assinatura de voz, geometria facial)
  • Informações sobre um indivíduo vinculado ou vinculado a um dos itens acima (e.g., Data de nascimento, local de nascimento, raça, religião, peso, atividades, indicadores geográficos, informações de emprego, informações médicas, informações educacionais, informações financeiras)

E daí Realmente Conta como pii?

Como você pode ver ao ler este resumo de como PII (ou “informações pessoais”) é definido por várias leis e organizações, há muita variação entre essas definições.

E isso significa que a abordagem mais segura para as organizações que desejam proteger esses dados vitais é usar uma definição ampla de PII para que possam facilitar a conformidade com os regulamentos atuais e se posicionar para cumprir facilmente os regulamentos futuros.

A idade da privacidade de dados

Como o PII é uma parte fundamental de como os clientes usam seus produtos, você precisa de uma maneira eficiente de usar o PII sem colocar os dados do cliente em risco. Você precisa de uma nova abordagem que repense como os dados do PII são armazenados e usados ​​em toda a sua organização. E você deve poder proteger seus clientes’ dados mais sensíveis sem sacrificar o utilitário de dados. Isso resulta em um novo paradigma: a idade da privacidade de dados.

No Skyflow, nós’Desenvolvi um cofre de privacidade de dados de confiança zero que usa a tecnologia de preservação da privacidade para proteger os dados do PII, enquanto você usa esses dados para impulsionar o crescimento dos negócios. Com o Skyflow, você pode armazenar seus dados confidenciais em um armazenamento de dados centralizado e isolado e reduzir a quantidade de PII que você armazena em outros aplicativos e sistemas. Essa abordagem reduz a exposição geral do PII em seus sistemas e a isola em uma loja central que você pode governar com políticas de controle de acesso.

O Skyflow foi desenvolvido para ajudar as empresas a acompanhar a retalhos em constante evolução das leis e regulamentos de privacidade. Skyflow Data Privacy Vault não apenas ajuda você a isolar, proteger e governar PII, mas também facilita a conformidade com as leis e regulamentos de privacidade de dados, incluindo requisitos como residência de dados.

Nesta nova era da privacidade de dados, o uso de soluções arquitetônicas para realizar a promessa de privacidade pelo design se torna cada vez mais crítica. Com recursos de preservação de privacidade, como tokenização, criptografia, mascaramento e redação, o Skyflow permite que sua empresa atenda aos requisitos de conformidade e reduz o escopo e o impacto de possíveis violações de dados.

Para ler mais sobre o Skyflow Data Privacy Vault, leia nossa postagem no blog sobre Data Privacy Vaults.

Pronto para ver você mesmo?

Entre em contato com nossa equipe para ver como o Skyflow pode ajudá -lo a proteger a privacidade e a segurança de dados confidenciais (incluindo PII) enquanto aliviam a conformidade com as leis de privacidade de dados.

Sobre informações pessoalmente identificáveis ​​(PII)

Informação pessoalmente identificável (PII) é qualquer dados que possa ser usado para distinguir ou rastrear a identidade de um indivíduo, sozinha ou quando combinada com outras informações. Exemplos incluem um nome, endereço residencial, endereço de e -mail, número do Seguro Social, número da carteira de motorista, número da conta bancária, número do passaporte, data de nascimento, biometria como impressões digitais ou informações vinculadas ou vinculadas a um indivíduo como informações médicas, educacionais, financeiras e de emprego.

Informações como gênero, raça, religião e estado civil normalmente não são consideradas pii sozinhas. No entanto, essas informações ainda devem ser tratadas como sensíveis, pois podem identificar um indivíduo quando combinadas com outros dados.

Um subconjunto especial de PII é a proteção de saúde protegida (PHI). Para mais informações, consulte sobre informações de saúde protegidas (PHI).

Proteger PII

Nas mãos erradas, uma divulgação de informações de identificação pessoal (PII) pode colocar indivíduos em risco e levar a identificar roubo e outras formas de fraude. Se você gerencia o PII como parte de sua função na universidade, é importante proteger os dados e garantir que os contratos e contratos de dados apropriados estejam em vigor antes de liberar esse tipo de informação para terceiros. Para mais, consulte o Contrato de Privacidade e Segurança de Dados ou Adendo e os Acordos de Compartilhamento de Dados.

Princípios de acesso a dados para compartilhar e acessar PII

Somente indivíduos com uma necessidade legítima devem ter acesso ao PII em seus sistemas. As restrições de acesso devem estar em vigor para atribuir PII adequadamente. Além disso, é importante lembrar esses principais princípios de acesso a dados ao gerenciar esse tipo de dados:

  • Acesse dados apenas para realizar negócios universitários.
  • Não acesse dados para lucro pessoal ou curiosidade.
  • Limite o acesso à quantidade mínima de informações necessárias para concluir sua tarefa. Por exemplo: Se você estiver criando ou executando um relatório e os destinatários não exigirem data de nascimento ou etnia completa, não inclua esses campos no relatório.
  • Respeite a confidencialidade e privacidade de indivíduos cujos registros você acessa. Por exemplo: Quando em público, não fale sobre informações confidenciais onde pessoas não autorizadas podem ouvir a conversa.
  • Não compartilhe dados da IU com terceiros, a menos que façam parte de suas responsabilidades de trabalho e Foi aprovado pelos administradores de dados apropriados. Por exemplo: Se você estiver comprando um produto vendido que coletará dados institucionais, entre em contato com o mordomo de dados apropriado para aprovação antes de qualquer coleta ou compartilhamento de dados. Da mesma forma, se você estiver conduzindo pesquisas com colegas fora da UI, antes de compartilhar qualquer dados, deve ter a aprovação por escrito do Conselho de Revisão de Assuntos Humanos e dos administradores de dados apropriados. Para mais, consulte o compartilhamento de dados institucionais com terceiros.
  • Se você não tiver certeza sobre os procedimentos de manuseio de dados:
    • Verifique os recursos na base de conhecimento da IU, gerenciamento de dados @ iu e segurança e política de informação.
    • Consulte seu pessoal de TI ou o administrador de dados relevante ou envie e -mail para [email protected] .

    Este é o documento Bhii Na base de conhecimento.
    Último modificado em 2022-08-24 16:49:45 .

    O gênero é considerado PII (informações pessoalmente identificáveis) sob o GDPR?

    Como o GDPR está abalando tudo no minuto em que estou trabalhando em algumas alterações em nosso site/processo. Trabalho em comércio eletrônico em UX (britânico) e apoio equipes de marketing com determinadas atividades. Minha pergunta é: o gênero de um indivíduo conta como pii? Armazenamos o gênero em uma camada de dados como uma variável JavaScript que é mantida em nosso próprio negócio, podemos optar por passar essas variáveis ​​para uma plataforma de teste para atingir indivíduos com base na presença dessas variáveis. Como não sou uma pessoa legal/tipo de dados, não tenho 100% de certeza se por nós armazenar e ter os meios para passar o sexo de uma pessoa (retirado das informações que obtemos quando elas criam uma conta conosco) para terceiros, estamos violando qualquer tipo de acordos de segurança da informação? Se isso se resume à política da empresa etc. Então me avise e vou encerrar a pergunta, pois não é realmente para aqui.

    Perguntado em 17 de maio de 2018 às 11:22

    301 1 1 crachá de ouro 2 2 crachás de prata 9 9 crachás de bronze

    Por favor, consulte isso – dbsdata.co.UK/WP-Content/Uploads/2018/03/… Posso mencionar que não aceitam os comentários/respostas de ninguém aqui como aconselhamento jurídico. Se você ainda não tiver certeza, procure aconselhamento jurídico profissional. Na página 10 do meu link, você encontrará uma lista de todos os dados considerados “pii”

    – User173641

    17 de maio de 2018 às 11:38

    @Joshjones, é claro, eu só queria avaliar se deveria ir mais longe para investir isso. Obrigado pela ajuda.

    17 de maio de 2018 às 12:16

    Se você apenas armazenar a agregação de um gênero que não pode identificar um indivíduo, você está um pouco seguro. Se você armazenar toneladas de dados capazes de se reconectar com o gênero, a resposta é não, você precisa de um consentimento opt-in da pessoa. Outro exemplo, se se desenvolver um “balcão de uso do banheiro” para pesquisar se o banheiro deve ser expandido, use o sensor de movimento para contar é bom. No entanto, se o edifício tiver apenas uma mulher, isso será uma invasão clara de privacidade. Tão bom senso também entra em jogo.

    17 de maio de 2018 às 12:29

    Quantas opções você tem para gênero? Por exemplo, pode haver configurações raras de cromossomos de gênero, como xxxxy que chegam perto de identificar indivíduos.

    17 de maio de 2018 às 13:01

    @Cronax Não atribuímos aos usuários um gênero automaticamente – eles se escolhem no momento da criação de contas. É uma escolha totalmente livre. Na verdade, é usado para que não enviemos anúncios para vestir e roupas íntimas femininas para nossos clientes masculinos. Essa discussão pode continuar para sempre, então vamos deixá -lo em paz por causa do tópico!

    17 de maio de 2018 às 15:09

    2 respostas 2

    A definição de dados pessoais, conforme mencionado no GDPR:

    ‘dados pessoais’ significa qualquer informação relacionada a uma pessoa natural identificada ou identificável (‘Dados titular’); Uma pessoa natural identificável é aquela que pode ser identificada, diretamente ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on -line ou a um ou mais fatores específicos para a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural;

    Ao afirmar que você usa a presença da variável para atingir indivíduos, o gênero definitivamente tem uma referência indireta à identidade de alguém e, como tal, é dados pessoais. No entanto, isso não significa que você deve parar de processar o gênero no contexto que descreveu.

    De uma perspectiva de risco (que é o que se trata o GDPR), não vejo um problema se você compartilhar apenas o gênero – que é realmente pseudonimizado, pois você não fornece outros dados de identificação direta junto com isso.

    No entanto, você tem outras obrigações c.r.t. O princípio da transparência, incorporando a atividade de processamento no seu registro de processamento, determinando o terreno legal para o processamento (e agindo de acordo), determinando o relacionamento controlador do processador com seu terceiro e incluindo as cláusulas necessárias no contrato, etc. Para determinar tudo isso, muito mais informações são necessárias do que você forneceu em sua pergunta e eu incentivo altamente a procurar aconselhamento profissional (legal) para apoiá -lo nesse assunto.

    Informação de identificação pessoal (PII) vs. Dados pessoais – o que’é a diferença?

    Informações pessoalmente identificáveis ​​(PII) vs. dados pessoais - qual é a diferença?

    Um princípio essencial de forense é que “Cada contato deixa um traço.” Poucas pessoas hoje estão plenamente cientes de quantos vestígios de informações pessoais saem todos os dias. Algumas dessas informações são genéricas ou anônimas, mas muito mais pode implicar ou revelar identidade do que muitas pessoas percebem.

    por UserCentrics

    3 de março de 2021

    Informações pessoalmente identificáveis ​​(PII) vs. dados pessoais - qual é a diferença?

    Índice

    Mostre mais show menos

    Reserve uma demonstração

    Saiba como nossa solução de gerenciamento de consentimento pode melhorar a privacidade e a experiência do usuário para seus usuários.

    Obtenha sua auditoria de privacidade de dados gratuita agora!

    Opa, algo está errado com o URL. Por favor cheque novamente.

    9 minutos para ler

    Introdução

    Um princípio essencial de forense é que “Cada contato deixa um traço.” Poucas pessoas hoje estão plenamente cientes de quantos vestígios de informações pessoais saem todos os dias. Algumas dessas informações são genéricas ou anônimas, mas muito mais pode implicar ou revelar identidade do que muitas pessoas percebem.

    Esses detalhes de identificação são informações pessoalmente identificáveis ​​(PII), que é o elemento -chave em políticas de privacidade, estruturas de proteção de dados, regulamentos governamentais e uma variedade de crimes tecnológicos. Quanto mais pii produzimos, mais complexo mantém -o seguro se torna.

    Adicionando à complexidade, “dados pessoais”, Outro termo comumente usado, não é o mesmo que “Informação pessoalmente identificável”. Colecionadores, usuários e compradores de informações, de empresas privadas a instituições de caridade e governos, têm responsabilidades em constante mudança para categorizar e proteger corretamente as informações que eles solicitam, usam, armazenam, vendem ou relatam.

    Nem todas as leis de privacidade são iguais. Você conhece seus requisitos de conformidade com dados?

    Confira nosso webinar no CCPA e por que o requisito “não vender minhas informações pessoais” é importante.

    O que é informações pessoalmente identificáveis ​​(PII)?

    Informações pessoalmente identificáveis ​​(PII) consistem em informações que, por conta própria ou combinadas com uma quantidade limitada de outros dados, podem ser usados ​​para identificar uma pessoa. As organizações têm a responsabilidade de proteger e usar legalmente todas as informações que coletam de usuários ou clientes. No entanto, alguns tipos de informações são considerados mais sensíveis que outros.

    O termo “Informação pessoalmente identificável” é comumente usado entre organizações e indústrias, principalmente nos Estados Unidos. No entanto, embora seja usado por agências governamentais e não governamentais, seu significado pode variar, e não é um termo ou definição legal.

    O que é uma informação sensível de identificação pessoal?

    Pii que pode estar diretamente ligado a uma pessoa’A identidade s, como primeiro e sobrenome ou número de cartão de crédito, também é chamado de informações sensíveis de identificação pessoal ou dados vinculados. Isso ocorre porque essa informação está direta ou quase diretamente ligada e pode revelar, um indivíduo’s identidade.

    Mais importante, porém, essas informações são sensíveis por causa do potencial dano que seu uso indevido poderia causar a uma pessoa. Isso varia de constrangimento público à vitimização criminal, se as informações forem perdidas, roubadas ou divulgadas sem autorização.

    Alguns exemplos de PII vinculado/sensível:

    • primeiro e último nome
    • endereço residencial
    • endereço de email
    • número de telefone
    • Número do Passaporte
    • motorista’S Número da licença
    • Número da Segurança Social
    • Foto de um rosto
    • Número do cartão de crédito
    • Nome de usuário da conta
    • impressões digitais
    • recordes financeiros
    • registros médicos

    No entanto, apesar da ampla variedade e sensibilidade de tais informações, não há uma definição global única de informações de identificação pessoal ou que tipos de informações abrange. Como resultado, as definições de PII podem diferir entre as organizações e entre as fronteiras.

    O que é PII não sensível?

    Esse tipo de informação também é chamado de dados vinculáveis, porque requer que mais elementos de dados sejam vinculados para estabelecer um indivíduo’s identidade. Enquanto o PII sensível pode revelar a identidade por conta própria ou com fontes de informação combinadas muito limitadas.

    Alguns exemplos de PII vinculado ou não sensível:

    • primeiro ou sobrenome (se for’s comum)
    • mãe’Nome de solteira
    • endereço parcial, como um país ou código postal
    • faixa etária, e.g. 35-44
    • data de nascimento
    • gênero
    • empregador

    Ao criar uma conta em um site, endereços de e -mail ou nomes de usuário escolhidos seriam pii. Uma senha de conta também seria PII, mas precisaria ser vinculada aos endereços de email ou outros dados vinculados para revelar a identidade. Uma plataforma de gerenciamento de consentimento (CMP) ajuda a harmonizar o marketing, gerenciamento de dados e requisitos legais baseados em sites e requisitos legais.

    Se uma pessoa fizer uma compra on -line, todas as informações que serão solicitadas a fornecer são PII, incluindo primeiro e sobrenome, empresa, endereço de remessa/cobrança, endereço de e -mail, número de telefone e número do cartão de crédito.

    Esta não é todas as informações geradas por essa transação, no entanto. Dependendo da compra, o item’S Número de série pode se tornar PII. Cookies salvos no navegador, pois estavam lendo sites que seriam pii. Assim como o cliente’s Localização com base em seu endereço IP. Se o site não estiver seguro, usando um certificado SSL e exibindo “https” no site’S URL, todas as informações também podem estar em risco de acesso não autorizado.

    O que é informações não identificáveis ​​não pessoalmente?

    Informações não identificáveis ​​não pessoalmente são dados sobre uma pessoa, ou dados resultantes de suas atividades, que por si só não podem ser usados ​​para identificar alguém. Isso pode ser porque a informação já é anônima e parte de um conjunto de dados maior, ou porque foi anonimizado.

    Alguns exemplos de informações não identificáveis ​​não pessoalmente:

    • Endereços IP que foram totalmente ou parcialmente mascarados
    • Estatísticas agregadas da base de usuários para um produto ou serviço
    • Dados que foram anonimizados por criptografia, remoção da identificação de informações ou outra técnica

    Algumas organizações consideram IDs de cookies e IDs de dispositivo não PII, enquanto outros consideram que as informações identificam.

    Informações pessoalmente identificáveis ​​(PII) internacionalmente

    Variações em terminologia e definições

    Alguns países usam “dados pessoais” ou “informações pessoais” em vez de “Informação pessoalmente identificável” Ao se referir a tipos de informações que podem identificar uma pessoa.

    Nos Estados Unidos, o Guia para proteger a confidencialidade das informações de identificação pessoal (PII) . Publicado pelo Instituto Nacional de Padrões e Tecnologia (NIST), fornece a definição mais usada de PII:

    “PII é qualquer informação sobre um indivíduo mantido por uma agência, incluindo (1) qualquer informação que possa ser usada para distinguir ou rastrear um indivíduo‘s identidade, como nome, número do previdência social, data e local de nascimento, mãe‘nome de solteira ou registros biométricos; e (2) qualquer outra informação vinculada ou vinculável a um indivíduo, como informações médicas, educacionais, financeiras e de emprego.”

    Múltiplas leis e jurisdições

    Os Estados Unidos e o Canadá são dois países que possuem regulamentos de privacidade federal e estadual/provincial. Nos EUA, a Califórnia tem entre os regulamentos mais fortes em nível estadual, com a Lei de Privacidade do Consumidor da Califórnia (CCPA) . Ele define e regula categorias, fontes e usos de informações pessoais para as pessoas. A Califórnia também terá a Lei de Direitos de Privacidade da Califórnia (CPRA) quando entrar em vigor em 2023.

    Influência global do GDPR

    Definições do que constitui PII e como deve ser coletado, protegido, usado, distribuído e destruído variam amplamente fora da União Europeia (UE). A UE’O GDPR tem o alcance mais amplo, pois é aplicável a todos os Estados -Membros da UE; Islândia, Liechtenstein e Noruega; e parceiros comerciais da UE.

    Alguns países têm seus próprios regulamentos nacionais baseados no GDPR ou projetados para estar em conformidade com ele, com definições detalhadas de dados pessoais e cidadãos’ direitos. Outros países, como o Reino Unido com a Lei de Proteção de Dados de 2018, implementaram amplamente o GDPR.

    O Reino Unido está em uma posição interessante, pois era um estado membro da UE quando o GDPR e sua Lei de Proteção de Dados entraram em vigor, mas desde então deixaram a UE e são um parceiro comercial externo agora e, portanto, devem cumprir, em vez de aplicar o GDPR. Saiba mais sobre os impactos pós-Brexit na transferência de dados.

    No Canadá, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), foi projetado com o GDPR em mente. Ele regula a coleta, uso e divulgação de informações pessoais para organizações do setor privado e suas atividades comerciais. O Canadá também tem uma Lei de Privacidade, que regula os cidadãos’ interações com o governo federal.

    A conformidade com o GDPR é exigida de organizações com as quais os cidadãos e empresas da UE se envolvem, mesmo que’não está localizado na UE, o que torna o GDPR influente no desenvolvimento e aplicação de outras empresas e países’ políticas.

    O que são dados pessoais sob o Regulamento Geral de Proteção de Dados (GDPR)?

    “Dados pessoais” Conforme descrito no regulamento geral de proteção de dados (GDPR), é um termo legal, definido como:

    “… Qualquer informação relacionada a uma pessoa natural identificada ou identificável (‘Dados titular’); Uma pessoa identificável é aquele que pode ser identificado, direta ou indiretamente, em particular por referência a um número de identificação ou a um ou mais fatores específicos para sua identidade física, fisiológica, mental, econômica, cultural ou social.”

    O GDPR também fornece exemplos específicos de dados pessoais vinculados e vinculados. Exemplos de dados pessoais vinculados incluem nome, endereço de email, números de identificação pessoal e outros tipos padrão de informação. Exemplos de dados pessoais vinculáveis ​​incluem coisas como data ou local de nascimento, raça ou sexo.

    PII sob GDPR

    O GDPR também faz referência a informações pessoalmente identificáveis, especificamente não PII que ainda são classificadas como dados pessoais sob o GDPR. A classificação depende dos detalhes específicos e possível anonimato da informação.

    Os tipos de dados relevantes incluem IDs de dispositivo, cookies do navegador, endereços de protocolo da Internet (endereços IP), endereços de controle de acesso à mídia (MAC), números internacionais de identidade de equipamentos móveis (IMEI) e alguns outros exemplos anteriormente referenciados.

    Dados sensíveis sob GDPR

    O GDPR classifica certos tipos de informações como dados sensíveis, que estão sujeitos a condições de processamento especificamente definidas. Como mencionado, dados sensíveis incluem informações que podem causar danos a um indivíduo se usado para identificação e fins maliciosos.

    Alguns exemplos de dados sensíveis sob o GDPR:

    • origem racial ou étnica
    • opiniões políticas
    • crenças religiosas
    • dados genéticos
    • Orientação sexual ou atividades

    O que são dados não pessoais?

    Dados não pessoais também são definidos no GDPR, mais simplesmente como informações que não permitem a identificação de um indivíduo. Mais especificamente, descreve que esses dados podem ter sido anonimizados ou nunca tenham sido sensíveis para começar.

    “Os princípios de proteção de dados não devem, portanto, se aplicar a informação anônima , ou seja, informações que não se relacionam com uma pessoa natural identificada ou identificável ou com dados pessoais tornados anônimos de tal maneira que o titular dos dados não é ou não mais identificável .”

    Os dados não pessoais incluem os mesmos tipos de informações que são categorizadas como informações pessoalmente identificáveis ​​não sensíveis fora da UE e do GDPR.

    Alguns exemplos de dados não pessoais sob o GDPR:

    • uma faixa etária, e.g. 35-44
    • dados de censo
    • Estatísticas agregadas sobre uso de produto ou serviço
    • Endereços de protocolo da Internet (endereços IP) parcial ou totalmente mascarados

    Como o PII difere dos dados pessoais?

    • o direito de ser informado
    • direito de acesso
    • direito à retificação
    • direito de apagar/ser esquecido
    • direito de restringir o processamento
    • direito à portabilidade de dados
    • direito de objetar
    • Direitos em relação à tomada de decisão e perfil automatizados

    O que é uma violação do PII?

    A responsabilidade de proteger o PII pode estar com a organização coletando e armazenando as informações e também com indivíduos cujos dados são. Uma violação do PII pode ocorrer quando uma entidade falha em cumprir todos os regulamentos aplicáveis.

    Uma empresa, por exemplo, deve proteger os dados dos clientes para os padrões estabelecidos por suas políticas de privacidade e segurança corporativas. Mas eles também devem atender aos padrões de governos estaduais e federais locais e parceiros comerciais para evitar violações do PII.

    Tipos de violações do PII

    As violações do PII podem assumir várias formas, dependendo de que tipo de violações de dados ou manipulação ocorreu, os tipos de informação comprometidos e quem e quantas vítimas houve. Por exemplo, roubo e venda de PII podem ser mais prejudiciais do que perda ou corrupção desses dados.

    As violações do PII podem incluir violações de dados onde milhões de registros detalhados são roubados. Eles também podem incluir violações de nível mais baixo, como empresas que não limitam adequadamente o acesso e o compartilhamento de dados entre departamentos internos ou com contratados. Ou as organizações podem não anonimizar adequadamente os dados antes de fornecê -los a clientes, parceiros ou pesquisadores.

    Exemplos de violações do PII

    O roubo de identidade é uma forma comum de violação do PII. O acesso não autorizado a PII sensível pode fornecer aos maus atores acesso a indivíduos’ contas, bancos, informações de saúde e muito mais. Esta informação pode ser usada para tudo, desde compras fraudulentas com números de cartão de crédito roubados até tráfico de pessoas com informações roubadas para passaporte.

    As violações do PII podem ocorrer online e também em espaços físicos. Uma organização pode ter excelente segurança de dados digitais, mas possui escritórios com caixas de reciclagem abertas, onde as pessoas podem descartar documentos de papel sensíveis. Equipamentos ou telefones de informática podem ser negociados ou reciclados sem ser limpo ou destruído com segurança.

    Conclusão

    Todo contato deixa um rastro e, em um mundo cada vez mais digital e interconectado, há mais contatos entre indivíduos e organizações do que nunca.

    Manter-se a par de esse tópico e edição enorme e em constante evolução requer experiência e ferramentas especializadas. Adote as melhores práticas para conformidade com nossa lista de verificação de cookies do GDPR e entre em contato com um de nossos especialistas para ver como os centricos de usuário podem ajudar.

    Informação de identificação pessoal (PII) vs. Dados pessoais – qual é a diferença?

    Artigos relacionados

    Nevada Privacidade das informações coletadas na Internet da Lei dos Consumidores (NPICICA) e Emenda SB-260: Uma visão geral

    A npicica precede a Califórnia’s Leis de privacidade de dados e é mais específico para a privacidade de dados em sites e outros online.

    Comparando leis de privacidade de dados em nível estadual dos EUA

    Os EUA não têm lei de privacidade federal, embora 6 estados tenham aprovado leis. Nós comparamos o que essas leis significam.

    Alcançar a conformidade com os regulamentos relevantes.

    Assine a nossa newsletter

    Mantenha -se atualizado com as últimas notícias sobre privacidade de dados e centricos de usuário’ soluções.

    Clicando em “Inscrever-se” Confirme que quero me inscrever no boletim informativo do usuário. Concordo que meus dados podem ser usados ​​para qualquer informação relacionada aos produtos e serviços oferecidos pelo UserCentrics ™. Posso revogar facilmente isso clicando no link de cancelamento de inscrição em qualquer email ou simplesmente escrever para [Email Protected] Ver Política de Privacidade

    Produtos

    • Gerenciamento de consentimento do site
    • Gerenciamento de consentimento do aplicativo
    • AMP Sites (Beta)
    • Protetor de dados inteligente

    Regulamentos

    • GDPR (UE)
    • CCPA (Califórnia)
    • VCDPA (Virgínia)
    • LGPD (Brasil)
    • Popia (África do Sul)
    • TCF 2.0 (IAB)