Le informazioni personali identificabili (o PII) sono dati che permettono di identificare univocamente un individuo.

Definizione

Le informazioni personali identificabili (PII) sono dati che, da soli o in combinazione con altre informazioni, possono anche permettere di contattare o localizzare un singolo individuo. Questi includono, ma non sono limitati a:

  • nome e cognome
  • indirizzo di residenza
  • indirizzo email
  • numero di telefono
  • numeri di identificazione come la carta d’identità o il numero di previdenza sociale
  • dati finanziari come il numero di conto bancario.
Personally Identifiable Information

In alcuni contesti, anche altri dati come data di nascita, impronte digitali o persino indirizzi IP possono essere considerati PII.

La definizione di PII può variare a seconda del contesto legale e della giurisdizione ma l’obiettivo comune è proteggere le informazioni che potrebbero essere utilizzate per compromettere l’identità di una persona.

I PII secondo il GDPR

In Europa, gli standard di sicurezza per le informazioni personali identificabili (PII) sono dettati principalmente dal Regolamento Generale sulla Protezione dei Dati (GDPR). Questo regolamento impone alle organizzazioni di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio. Ciò include la protezione contro l’elaborazione non autorizzata o illegale dei dati, nonché contro la perdita, la distruzione o il danneggiamento accidentali. Le aziende devono anche assicurarsi che i dati personali siano trattati in modo legale, corretto e trasparente, e conservati solo per il tempo strettamente necessario agli scopi per cui sono stati raccolti.

Secondo il GDPR, i dati considerati come informazioni personali identificabili (PII) includono un’ampia gamma di informazioni che possono essere utilizzate per identificare direttamente o indirettamente una persona fisica.
Questi dati includono, ma non sono limitati a, nome e cognome, indirizzi, indirizzi e-mail, numeri di identificazione come il codice fiscale ma includono anche:

  • dati di localizzazione
  • identificatori online come indirizzi IP o cookie
  • fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica.

Classificazione dei dati PII

La classificazione dei dati personali identificabili (PII) si basa sulla sensibilità delle informazioni e sul potenziale impatto della loro esposizione.

  • I dati PII sensibili includono informazioni che, se divulgate, potrebbero portare a un danno significativo per l’individuo, come frodi finanziarie. Esempi tipici sono numeri di conto bancario, codici fiscali, e dati sanitari.
  • I dati PII non sensibili, come il nome o l’indirizzo email, pur potendo ancora identificare un individuo, presentano un rischio inferiore in termini di conseguenze dannose se esposti. La corretta classificazione e gestione di questi dati è fondamentale per mitigare i rischi associati alla loro potenziale esposizione.

Minacce alla sicurezza dei dati personali identificabili

Le minacce alla sicurezza dei dati personali identificabili (PII) sono molteplici e variano in sofisticatezza.
Il phishing, per esempio, è una tattica comune in cui gli aggressori ingannano gli individui per ottenere informazioni sensibili, spesso tramite email che sembrano provenire da fonti affidabili. L’ingegneria sociale, invece, manipola le persone a rivelare informazioni confidenziali in situazioni che sembrano innocue.

Altre minacce includono attacchi informatici come il furto diretto di dati PII dalle banche dati aziendali.

Proteggere le Personally Identifiable Information

Per proteggere efficacemente i dati personali identificabili (PII), è essenziale adottare un approccio multi-strato.
Questo include:

  • la formazione dei dipendenti sulle migliori pratiche di sicurezza dei dati
  • implementare politiche di sicurezza rigide, come la limitazione dell’accesso ai dati PII solo al personale necessario
  • l’uso di tecnologie di sicurezza, come la crittografia dei dati, la protezione firewall e sistemi di rilevamento delle intrusioni.

Infine, la revisione e l’aggiornamento regolari delle politiche e delle tecnologie di sicurezza sono cruciali per adeguarsi alle nuove minacce.