¿Por qué es tan importante el enmascaramiento de información personal identificable?

Escrito por Carles Durá Santonja | 28/09/22

El enmascaramiento de información personal identificable es una forma de proteger los datos sensibles de un individuo, de una empresa o de una organización. También puede verse como un método funcional para sustituir o directamente suprimir datos reales cuando estos no sean necesarios.

Es un método muy utilizado por las empresas debido a su necesidad de compartir datos en el desarrollo de sus actividades comerciales diarias, como son el análisis de comportamientos de clientes o el desarrollo y simulaciones de aplicaciones y productos. También se emplea en ámbitos científicos, educativos, financieros, etc.

Así, es de gran relevancia conocer detalladamente por qué enmascarar información personal identificable resulta tan importante y vital.

 

¿Qué es el enmascaramiento de información personal identificable?

Cuando se habla de información personal identificable, o datos PII (por sus siglas en inglés, Personally Identificable Information), se hace referencia a los datos que sirven de identificadores directos o indirectos a un individuo para descubrir su identidad o acceder a sus registros de información personal.

Es información PII, por ejemplo, los nombres, la dirección de domicilio o del trabajo, los números de teléfono, de tarjetas de crédito o de seguridad social, etc.

El enmascaramiento de información personal identificable es un proceso en el que, por medio de la codificación, reemplazo u ocultamiento de datos PII se crea una nueva estructura de datos, muy similar a la original, pero no auténtica.

El enmascaramiento de PII garantiza que, al modificar, sustituir, o cifrar los valores de los datos sensibles o confidenciales sea imposible descubrir el valor real de los mismos o revertir el procedimiento.

 

¿Para qué se utiliza el enmascaramiento de información personal identificable?

El fin mayor de enmascarar información personal identificable es el de la protección de los datos, pero también se emplea para proteger los datos sensibles que puedan representar un riesgo para las empresas y la información clasificada o confidencial de las Instituciones de la Administración Pública.

En la actualidad, estos datos PII pueden ser recopilados por las empresas a través de distintos medios o instrumentos como registros médicos, registros en el trabajo, bases de datos de la Administración Pública, registros de las entidades bancarias, etc.

Además, el uso de la tecnología siempre produce un registro de los datos PII. Por ejemplo, el registro de casi todas las aplicaciones, las encuestas, los formularios y suscripciones en páginas web requieren normalmente el correo electrónico o el número de tarjeta de débito.

El funcionamiento de estas organizaciones o empresas hace necesario que compartan los datos personales identificables con profesionales como los analistas de mercado, con fines de evaluación médica o para la publicación de investigaciones.

Para que estos datos sensibles no queden expuestos y evitar que los clientes, pacientes o trabajadores puedan ser rastreados y extorsionados o que su información se emplee para cometer fraudes u otras acciones ilegales es indispensable aplicar el enmascaramiento de información personal identificable.

De esta forma, con el enmascaramiento PII las empresas pueden ofrecer a las personas una protección y seguridad de sus datos personales identificables. Constituye, además, una manera de que las empresas cumplan con las normativas que regulen la materia, mantengan su competitividad y transmitan a sus clientes confiabilidad.

 

Tipos de datos PII

Como se expuso anteriormente, un dato PII es aquel que puede servir para rastrear e identificar, directa o indirectamente, a una persona. Por lo tanto, existen dos tipos de datos PII:

  • Los datos personales identificables directos: Son los que permiten la identificación directa de la persona.

    • Por ejemplo, el número de pasaporte, el nombre completo, la dirección del domicilio físico, etc.

  • Los datos personales identificables indirectos: Este tipo de información solo permite descubrir la identidad del individuo titular mediante la acertada combinación con otros elementos o conjuntos de datos.

    • Por ejemplo, el tipo de empleo o la profesión de una persona, por sí mismo, no sería suficiente para identificar a una persona, pero si se combina con parte de su dirección de domicilio (calle o nombre de edificio), la identificación sí que sería posible.

 

¿Cómo se regulan los PII?

Entre las principales regulaciones de protección de datos se encuentran las de Europa y Estados Unidos. Estas regulaciones exigen a las empresas garantizar la seguridad de los datos PII que registren y traten durante la ejecución de sus actividades.

Los marcos legislativos más conocidos para la seguridad de datos personales identificables son:

  • El Reglamento General de protección de Datos RGPD de la Comunidad Europea, que evita la exposición de datos personales identificables y otros datos sensibles sin la debida autorización. Protege a los ciudadanos europeos ante empresas fuera o dentro de Europa.

  • La Ley de Privacidad del Consumidor de California CCPA, en EE. UU, que ofrece a los clientes la protección y privacidad de sus datos.

  • La Ley de Portabilidad y Responsabilidad del Seguro Médico HIPAA, de EE. UU., que establece la protección de los datos PII y demás información sensible que esté relacionada con los registros y atención médica.

  • El PCI DSS, estándar de seguridad de datos de la industria de tarjeta de pago, que ofrece protección de datos a los usuarios de tarjetas.

 

 

 

Métodos de enmascaramiento de información personal identificable

Existen diversos métodos para enmascarar información personal identificable:

  • La sustitución: Dentro de un conjunto de datos, este método reemplaza algunos valores por otros que parezcan realistas, sin afectar el uso de la información o el significado de los datos.

  • El cifrado: En este método de enmascaramiento PII se codifican los datos sensibles, y para descifrarlos se requiere una clave específica.

  • La anulación: Consiste en eliminar los datos sensibles dentro de un conjunto de datos, siendo solo visibles para los usuarios con permisos o credenciales. Es muy empleada para los datos confidenciales.

  • La k-anonimización: Es un método en el que se combinan conjuntos de datos con características semejantes para evitar la identificación individual.

  • La mezcla de datos: Se trata de sustituir datos de manera aleatoria, pero con otros valores del mismo grupo. Es similar a barajar los datos.

 

Pangeanic, expertos en tratar los datos PII

En Pangeanic nos especializamos en el procesamiento del lenguaje natural y en el desarrollo de tecnología para el tratamiento de los datos PII.

Contamos con nuestro software de anonimización Masker para ayudarle a usted y a su empresa a compartir información bajo el debido enmascaramiento de información personal identificable y ayudarle a cumplir con el RGPD, la CCPA y la HIPAA.

Nuestro servicio de anonimización elimina tanto los identificadores directos como aquella información que pudiera servir de identificador indirecto de sus clientes o trabajadores, de forma confiable y segura.