De ce ar trebui să le pese companiilor din SUA despre PII, non-PII și datele cu caracter personal
Pentru mulți din lumea mass-media și a publicității, în special în Statele Unite, informațiile de identificare personală (PII) au fost mult timp interzise pentru colectare și urmărire. Se depun eforturi semnificative pentru a trasa o linie de demarcație între PII și non-PII și chiar pentru a masca sau pseudonimiza PII în așa fel încât să nu mai fie identificabile (și, prin urmare, utilizabile pentru marketing). Cu toate acestea, linia de demarcație în SUA este în curs de schimbare, iar în Europa, odată cu intrarea în vigoare a GDPR la 25 mai 2018, s-ar putea să nu mai existe deloc.
Ce este PII?
Departamentul Apărării (DoDD 5400.11, 29 octombrie 2014) definește PII ca fiind:
„Informații utilizate pentru a distinge sau a urmări identitatea unei persoane, cum ar fi numele, numărul de securitate socială, data și locul nașterii, numele de fată al mamei, înregistrările biometrice, numerele de telefon de acasă, alte informații demografice, personale, medicale și financiare. IIP include orice informație care este legată sau poate fi legată de o anumită persoană, singură sau combinată cu alte informații personale sau de identificare. În sensul prezentei emisiuni, termenul PII include, de asemenea, informații personale și informații în formă identificabilă.”
Pe baza acestei definiții, majoritatea agențiilor guvernamentale din SUA fac distincție între PII nesensibile și PII sensibile (cele care, dacă sunt dezvăluite, ar putea cauza prejudicii persoanei). Acest lucru are rolul de a ajuta la diferențierea informațiilor accesibile publicului de informații cu potențial mai dăunător, cum ar fi statutul de cetățean, apartenența religioasă sau orientarea sexuală (Ghidul DHS). Caracterul sensibil sau nu al informațiilor PII poate depinde adesea de context și de interpretare. Agenții de marketing și editorii sunt foarte atenți să evite utilizarea PII și, în schimb, se concentrează pe non-PII pentru a face anunțurile mai relevante pentru consumatori.
Non-PII
Potrivit Mobile Marketing Association, Non-PII sunt „Informații care pot corespunde unei anumite persoane, unui cont sau unui profil, dar care nu sunt suficiente pentru a identifica, contacta sau localiza persoana căreia îi aparțin aceste informații. Plumb necalificat.” Exemple de astfel de informații sunt:
- Device ID-uri
- Adrese IP
- Cookies
- Tip de browser
- Detalii de conectare
- Preferințe lingvistice
- Zone orare
Prin analizarea acestor informații, companiile de date pot crea profiluri detaliate ale consumatorilor pentru a prezice interesul și intenția de cumpărare. Acest lucru permite comercianților să se adreseze publicului potrivit cu reclame relevante în locul potrivit și la momentul potrivit.
Extinderea PII
În ultima vreme, susținătorii confidențialității au început să mute linia de demarcație dintre PII și non-PII pentru a încuraja protecția mai multor informații. De exemplu, directorul FTC, Jessica Rich, a indicat că identificatorii persistenți ar trebui probabil să fie considerați PII. „considerăm că datele sunt „identificabile personal” și, prin urmare, justifică protecția vieții private, atunci când pot fi legate în mod rezonabil de o anumită persoană, calculator sau dispozitiv”. În multe cazuri, identificatorii persistenți, cum ar fi identificatorii dispozitivelor, adresele MAC, adresele IP statice sau cookie-urile îndeplinesc acest test”. Printre exemplele oferite de FTC se numără:
- Numărul clientului păstrat într-un cookie
- Adresa IP
- Numărul de serie al procesorului sau al dispozitivului
- Identificarea unică a dispozitivului
Acești identificatori persistenți suplimentari extind în mod semnificativ ceea ce a constituit din punct de vedere istoric PII și indică disponibilitatea redusă a FTC de a ignora metodele moderne de urmărire.
Toate sunt date cu caracter personal în conformitate cu GDPR!
În contextul regulamentului UE privind confidențialitatea GDPR, distincția dintre PII și non-PII nu contează. De fapt, se poate argumenta că aproape orice ar trebui să fie protejat ca date cu caracter personal în cadrul GDPR. Mai degrabă decât testul „legăturii rezonabile” al FTC, GDPR face distincție între datele Pseudonime și cele Anonime. În linii mari, datele pseudonime sunt protejate ca date cu caracter personal, în timp ce datele anonime nu sunt protejate. Cu toate acestea, pragul pentru a fi anonim este dificil de depășit, păstrând în același timp valoarea pentru comercianți. De fapt, le cere operatorilor și procesatorilor de date să ia în considerare „tehnologia disponibilă la momentul prelucrării și evoluțiile tehnologice” pentru a determina dacă o persoană vizată (a se citi: persoană) ar putea fi identificată prin combinarea oricăror date pseudonime sau disparate. Conform acestei definiții, datele cu caracter personal au o amploare atât de mare încât operatorii și persoanele împuternicite de operatori ar putea dori să presupună că cele mai multe dintre datele lor sunt personale și să lucreze în sens invers de acolo.
Ce facem acum?
Cu intrarea în vigoare a GDPR în mai 2018, ar trebui să recunoaștem că nomenclatura obișnuită din SUA de PII și Non-PII nu mai este aplicabilă unei părți semnificative a comunității internaționale. GDPR forțează companiile din întreaga lume care gestionează date europene să își regândească și să își retoleze politicile privind datele. Deși este posibil ca SUA să nu adopte niciodată GDPR așa cum este scris, nu ne putem permite să ignorăm trecerea la conștientizarea confidențialității și ștacheta ridicată a protecției datelor cu caracter personal în Europa.
Vreți să aflați mai multe despre GDPR? Consultați restul seriei noastre:
- SpotX’s GDPR Task Force
- Ce este GDPR? Ce trebuie să știți despre Ad Tech și Regulamentul general privind protecția datelor
- GDPR: Top 7 lucruri pe care editorii ar trebui să le facă pentru a se proteja
- Cum ar trebui să se gândească companiile cu sediul în SUA la GDPR
- De ce ar trebui să le pese companiilor din SUA de PII, non-PII și de datele personale
- Ce este „Privacy by Design and Default” și cum mă poate ajuta să fac alegeri dificile într-o lume post-GDPR?
- Cum va strânge GDPR controlul Google și Facebook asupra dolarilor din publicitatea globală – Nu este ironic?
- Vlog: Senior Product Manager, Jessica Berman vorbește despre GDPR