Date cu caracter personal (PII)

Datele cu caracter personal (PII) se referă la informațiile care pot identifica persoane, în mod direct sau indirect.

Următoarele date cu caracter personal identifică în mod direct o persoană:

Numele și amprenta sunt, bineînțeles, exemple de date cu caracter personal. Însă nu întotdeauna sunt așa de directe informațiile.

Să luăm un număr de telefon:

(408)-930-0

Poți identifica direct o persoană doar după numărul de telefon? Probabil că nu. Totuși, dacă ai la îndemână și o carte cu numerele de telefon care au prefixul 408, ai putea găsi persoana respectivă.

Cu alte cuvinte, numărul de telefon asociat cu cartea de telefon ajută la identificarea cuiva, în mod indirect.

Acest exemplu evidențiază o altă formă de date cu caracter personal: date personale asociate, care înseamnă că prin asocierea mai multor informații din surse diferite se pot identifica persoane.

Cele mai întâlnite exemple:

Clasificarea informațiilor ca date cu caracter personal este o adevărată provocare. De exemplu, această opinie legată de adrese IP sugerează că acestea nu sunt date cu caracter personal, deoarece ele identifică dispozitive, nu persoane. Pe de altă parte, adresele IP pot fi considerate date cu caracter personal căci ele, de cele mai multe ori, identifică locații geografice și acționează ca date personale asociate. În acest caz, clasificarea este ambiguă.

Chiar dacă în present unele informații nu sunt considerate date cu caracter personal, ele vor putea fi clasificate astfel în viitor. Dacă în viitor legislația o să prevadă ca o persoană să dețină un set de adrese IP, atunci adresele IP vor deveni date cu caracter personal. Clasificarea informațiilor din punct de vedere al caracterului personal se poate schimba în timp.

Datele cu caracter personal asociate conduc la o clasificare mai dificilă. De exemplu, am putea folosi data și ora postărilor cuiva de pe rețele sociale pentru a identifica zona de pe glob în care locuiește. Dacă persoana respectivă postează o fotografie cu un restaurant la care mănâncă, putem identifica unde se găsește acel restaurant. De aici încolo, vei putea să îți faci o impresie tot mai clară despre locul și identitatea acelor persoane. Ajungi la aceste rezultate asociind data-ora cu fotografia unui restaurant.

🤔 În acest exemplu imaginar, crezi că reprezintă date cu caracter personal asociate fotografia sau data-ora? Ce alte exemple de informații ar putea fi clasificate ca date cu caracter personal directe sau date personale asociate?

Răufăcătorii pot fura de la companii date cu caracter personal prin ceea ce numim scurgere de informații.

În 2017, agenția Equifax a fost victima unei scurgeri de informații, iar atacatorii au accesat datele cu caracter personal a 143 de milioane de americani. Datele conțineau și informații foarte sensibile precum CNP-uri, conturi bancare și numere de cărți de credit. ${}^1$‍

Imediat ce atacatorii au accesat informațiile, le puteau folosi pentru a fura identitățile persoanelor sau pentru a face transferuri neautorizate folosind numerele cărților de credit.

Cum poți afla dacă ești victima unei scurgeri de informații? Te-ar putea notifica organizația atacată, dar și servicii precum HaveIBeenPwned ar putea să îți dea un răspuns, de asemenea.

Iată un exemplu de email generic de la HavelBeenPwned:

Deoarece ajungerea datelor personale pe mâna cui nu trebuie poate cauza necazuri persoanelor vizate, legislația prevede clar cum pot stoca și prelucra instituțiile date cu caracter personal.

De exemplu, în Europa există regulamentul Uniunii Europene cu privire la datele cu caracter personal (GDPR = General Data Protection Regulation). În SUA, există HIPAA (Health Insurance Portability and Accountability Act) care reglementează prelucrarea datelor personale medicale, există COPPA (Children's Online Privacy Protection Act) care reglementează prelucrarea datelor personale ale copiilor. Dacă dezvolți un site sau o aplicație care folosește date cu caracter personal ale utilizatorilor din acele zone, ești obligat să respecți legislațiile respective.

Ca utilizatori, cel mai indicat lucru este să furnizăm propriile date personale serviciilor online numai dacă este absolut necesar—iar aceasta nu se întâmplă aproape niciodată cu Social Security number (număr specific SUA, asemănător cu codul contului de la bancă cumulat cu CNP-ul).

De asemenea, ar trebui să avem mare grijă cu postările noastre pe rețelele sociale. Chiar dacă postările noastre nu includ informații considerate în prezent ca fiind date cu caracter personal, unele dintre ele vor putea fi considerate în viitor ca date personale asociate.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Ai și alte întrebări legate de acest subiect? Ne bucurăm să îți putem răspunde—nu ai decât să pui întrebările în spațiul de mai jos!