Para muchos en el mundo de los medios de comunicación y la publicidad, especialmente en Estados Unidos, la información de identificación personal (IIP) ha estado durante mucho tiempo fuera de los límites de la recopilación y el seguimiento. Se han hecho grandes esfuerzos para trazar una línea entre la IIP y la que no lo es, e incluso para enmascarar o seudonimizar la IIP de manera que deje de ser identificable (y, por tanto, utilizable para el marketing). Sin embargo, la línea en Estados Unidos está cambiando y en Europa, con el GDPR que entrará en vigor el 25 de mayo de 2018, podría no existir en absoluto.

¿Qué es la IIP?

El Departamento de Defensa (DoDD 5400.11, 29 de octubre de 2014) define la IIP como:

«Información utilizada para distinguir o rastrear la identidad de un individuo, como el nombre, el número de la seguridad social, la fecha y el lugar de nacimiento, el nombre de soltera de la madre, los registros biométricos, los números de teléfono de casa, otra información demográfica, personal, médica y financiera. La IIP incluye cualquier información que esté vinculada o sea vinculable a un individuo específico, por sí sola o cuando se combina con otra información personal o de identificación. A los efectos de esta publicación, el término IIP también incluye la información personal y la información en forma identificable»

A partir de esta definición, la mayoría de los organismos gubernamentales de EE.UU. distinguen entre la IIP no sensible y la IIP sensible (aquella que, si se divulga, podría causar un daño a la persona). Esto es para ayudar a diferenciar la información disponible públicamente de la información más potencialmente dañina, como el estado de la ciudadanía, la afiliación religiosa o la orientación sexual (Guía del DHS). El hecho de que la IIP sea sensible o no puede depender a menudo del contexto y la interpretación. Los vendedores y editores tienen mucho cuidado de evitar el uso de la IIP y, en su lugar, se centran en la no IIP para hacer que los anuncios sean más relevantes para los consumidores.

No IIP

Según la Mobile Marketing Association, la no IIP es «información que puede corresponder a una persona, cuenta o perfil concreto, pero que no es suficiente para identificar, contactar o localizar a la persona a la que pertenece dicha información. Un lead no cualificado». Ejemplos de ello son:

• Identificación de dispositivos
• Direcciones IP
• Cookies
• Tipo de navegador
• Detalles de conexión
• Preferencia de idioma
• Zonas horarias

Al analizar esta información, las empresas de datos son capaces de crear perfiles detallados de los consumidores para predecir el interés y la intención de compra. Esto permite a los profesionales del marketing dirigirse al público adecuado con anuncios relevantes en el lugar y el momento adecuados.

Expansión de la IIP

Últimamente, los defensores de la privacidad han empezado a mover la línea entre la IIP y la no IIP para fomentar la protección de más información. Por ejemplo, la directora de la FTC, Jessica Rich, indicó que los identificadores persistentes probablemente deberían considerarse IIP. «Consideramos que los datos son «identificables personalmente» y, por tanto, garantizan la protección de la privacidad, cuando pueden vincularse razonablemente a una persona, ordenador o dispositivo concretos. En muchos casos, los identificadores persistentes como los identificadores de dispositivos, las direcciones MAC, las direcciones IP estáticas o las cookies cumplen esta prueba». Algunos ejemplos de la FTC son:

• Número de cliente guardado en una cookie
• Dirección IP
• Número de serie del procesador o del dispositivo
• Identificador único del dispositivo

Estos identificadores persistentes adicionales amplían significativamente lo que ha constituido históricamente la IIP e indican la reducida disposición de la FTC a ignorar los métodos modernos de seguimiento.

¡Todo son datos personales según el GDPR!

En el contexto del reglamento de privacidad de la UE GDPR, la distinción entre PII y no PII no importa. De hecho, se puede argumentar que casi todo debería estar protegido como Datos Personales bajo el GDPR. En lugar de la prueba de «vinculación razonable» de la FTC, el GDPR distingue entre datos seudónimos y anónimos. En términos generales, los datos seudónimos están protegidos como datos personales, mientras que los anónimos no lo están. Sin embargo, el umbral de anonimato es difícil de superar sin perder el valor para los comerciantes. De hecho, pide a los responsables y encargados del tratamiento que tengan en cuenta «la tecnología disponible en el momento del tratamiento y los avances tecnológicos» para determinar si un sujeto de datos (léase: persona) podría ser identificado mediante la combinación de datos seudónimos o dispares. Según esta definición, los datos personales tienen una amplitud tan grande que los controladores y procesadores pueden querer asumir que la mayoría de sus datos son personales, y trabajar hacia atrás desde allí.

¿Qué pasa ahora?

Con la entrada en vigor del GDPR en mayo de 2018, debemos reconocer que la nomenclatura común de Estados Unidos de PII y Non-PII ya no es aplicable a una parte significativa de la comunidad internacional. El GDPR está obligando a las empresas de todo el mundo que manejan datos europeos a repensar y retocar sus políticas de datos. Aunque es posible que los Estados Unidos nunca adopten el GDPR tal y como está escrito, no podemos permitirnos ignorar el cambio en la conciencia de la privacidad y el alto nivel de protección de los datos personales en Europa.

¿Quieres saber más sobre el GDPR? Consulte el resto de nuestra serie:

• El grupo de trabajo sobre el GDPR de SpotX
• ¿Qué es el GDPR? Lo que necesitas saber sobre la tecnología publicitaria y el Reglamento General de Protección de Datos
• GDPR: Las 7 cosas más importantes que los editores deben hacer para protegerse
• Cómo las empresas con sede en Estados Unidos deben pensar en el GDPR
• Por qué las empresas estadounidenses deben preocuparse por la PII, la no PII y los datos personales
• ¿Qué es la «Privacidad por diseño y por defecto» y cómo puede ayudarme a tomar decisiones difíciles en un mundo post-GDPR?
• Cómo el GDPR reforzará el control de Google y Facebook sobre los dólares de la publicidad mundial – ¿No es irónico?
• Vlog: Jessica Berman, Directora de Producto, habla sobre el GDPR