ProtonBlog(new window)
Iscriviti con RSS

Privacy Decifrata #7: Cos’è il PII?

Condividi questa pagina

Se stai facendo ricerche sulle leggi sulla privacy dei dati, prima o poi incontrerai i termini “informazione identificabile personalmente” e “dati personali”. Spieghiamo cosa significano questi termini, come si differenziano e cosa puoi fare per proteggere la tua PII online.

Sebbene siano concetti simili con molti punti in comune, l’informazione identificabile personalmente (PII) copre un raggio più ristretto di dati ed è il principale oggetto delle leggi sulla privacy dei dati negli Stati Uniti, mentre i dati personali hanno un raggio più ampio e sono il principale oggetto del GDPR.

Un modo semplice per distinguerli è ricordare che tutta la PII è considerata dato personale, ma non tutti i dati personali sono considerati PII.

Conoscere questi termini è importante perché i dati che descrivono qualificano per protezioni speciali. Sotto il GDPR, puoi richiedere che un’organizzazione elimini i tuoi dati personali dai loro sistemi o ti invii una copia così che tu possa portarli in un’altra organizzazione. E sotto le leggi sulla privacy dei dati negli Stati Uniti, è vietato alle organizzazioni raccogliere o condividere certi tipi di PII.

Puoi anche migliorare la tua privacy semplicemente limitando quanto PII condividi e sapendo come rimuovere o proteggere i dati già esposti.

Cos’è l’informazione identificabile personalmente?

Questo è leggermente complicato poiché ciò che qualifica come “dato personale” o “informazione identificabile personalmente” può variare a seconda del paese in cui vivi. Esamineremo come gli Stati Uniti definiscono la PII e come l’UE definisce i dati personali, poiché queste due definizioni hanno l’impatto più ampio su internet.

Secondo il National Institute of Standards and Technology (NIST) degli Stati Uniti, la PII si riferisce a qualsiasi informazione che può essere usata per distinguere o tracciare l’identità di un individuo o qualsiasi altra informazione che è collegata o collegabile a un individuo.

Un elenco non esaustivo di informazioni che possono essere usate per distinguere o tracciare la tua identità include:

  • Informazioni di identificazione personale: Nome, numero di previdenza sociale (negli Stati Uniti), numero di passaporto, numero di patente di guida o numero di identificazione fiscale
  • Indirizzo personale: indirizzo di casa o indirizzo email
  • Numero di telefono personale
  • Informazioni sanitarie protette: numeri di cartella clinica, storie mediche, risultati di test o numero di assicurazione sanitaria
  • Registri finanziari: numeri di carte di credito o debito, numeri di conti bancari o altre informazioni bancarie o finanziarie
  • Fotografie: in particolare con il tuo volto o altre caratteristiche identificative visibili
  • Dati biometrici: impronte digitali, scansioni della retina, firme vocali o geometria del viso
  • Numeri di identificazione per oggetti di tua proprietà: Vehicle Identification Number (VIN), numero di titolo di casa o veicolo

Le informazioni collegabili sono essenzialmente informazioni che da sole non possono identificarti ma possono rivelare la tua identità quando combinate con altri dati. I tipi di dati collegabili includono il tuo:

  • Data di nascita
  • Luogo di nascita
  • Cognome da nubile della madre
  • Numero di telefono Business
  • Indirizzi IP
  • Indirizzo postale o e-mail Business
  • Razza
  • Religione
  • Indicatori geografici
  • Informazioni sul lavoro
  • Informazioni mediche
  • Informazioni sull’istruzione
  • Informazioni finanziarie

Negli Stati Uniti, le PII sono regolate a livello federale dal Privacy Act del 1974. Come ci si potrebbe aspettare da una legge degli anni ’70, non è stata scritta pensando a internet ed è ambigua in molte situazioni. Leggi più recenti coprono specifiche parti delle PII (HIPAA copre le “informazioni sanitarie protette”, COPPA copre le PII dei bambini, il California Consumer Privacy Act copre le PII dei californiani, ecc.), ma attualmente non esiste negli Stati Uniti un equivalente del GDPR dell’UE.

Questo approccio frammentato è solo un ulteriore motivo per cui gli Stati Uniti hanno bisogno di una nuova legislazione sulla privacy dei dati(new window)zi(new window)one(new window).

Cos’è il dato personale?

Una definizione di buon senso di dato personale è qualsiasi informazione che si riferisce a un individuo identificato o identificabile che è vivo.

Se vivi nell’Unione Europea, il GDPR regola come i tuoi dati personali possono essere raccolti e utilizzati. Il GDPR spiega cosa considera legalmente dati personali nell’Articolo 4.(1)(new window). La sua definizione è molto inclusiva e copre qualsiasi informazione che si riferisce a una persona specifica.

Questo GDPR istruisce i regolatori a interpretare “qualsiasi informazione” nel modo più ampio possibile, il che copre più informazioni di quanto riconosciuto dalla maggior parte dei paesi. Questo significa che, secondo il GDPR, i dati personali includono l’elenco delle PII sopra menzionato così come:

  • Appartenenza a sindacati
  • Informazioni genetiche
  • Opinioni politiche
  • Convizioni religiose e ideologiche

I dati personali possono anche includere dati innocui se agiscono come un quasi-identificatore. Ad esempio, ‘pizza al peperoni’ di per sé non è un dato personale. Tuttavia, se viene archiviata come il tuo cibo preferito, diventa un dato personale. Diventa un dato personale a causa della sua connessione con te.

Anche il contesto in cui un dato viene utilizzato può influenzare se viene considerato personale. In questo esempio, ipotizza di essere sullo sfondo di una foto paesaggistica. Se quella foto viene stampata in un libro di fotografia privato, non è un dato personale. Tuttavia, la stessa foto nelle mani di un investigatore potrebbe essere considerata un dato personale.

Scopri di più su cosa il GDPR considera dato personale(new window)

Come l’anonimizzazione influenza i dati personali?

L’anonimizzazione è l’elaborazione di dati in modo che non possano essere utilizzati per identificare direttamente o indirettamente un individuo. (‘Identificare indirettamente’ significa che non dovresti essere in grado di combinarlo con altri dati per identificare un individuo.) Perché i dati siano veramente anonimizzati, questo processo deve anche essere irreversibile. Questo processo è importante perché i dati personali che sono stati anonimizzati non sono più considerati tali e non richiedono più misure di protezione speciali secondo il GDPR o le leggi sulla privacy degli Stati Uniti.

Dove potrebbe un ladro di identità accedere ai miei dati personali?

Purtroppo, ci sono molti luoghi online dove i tuoi dati personali sono accessibili, spesso senza che tu ne sia a conoscenza. Ecco alcuni dei luoghi più comuni dove i tuoi dati possono essere esposti online.

Social media

Questo è il punto di partenza ovvio. Anche se nel tuo profilo Facebook o Twitter non dichiari apertamente il tuo nome, compleanno o indirizzo, un attaccante può di solito dedurre queste informazioni esaminando i tuoi post e quelli dei tuoi amici. Ad esempio, trovando una foto di un amico in cui soffi le candeline su una torta davanti a palloncini che dicono ‘Hai 30 anni!’, qualcuno può capire la tua età, quando è il tuo compleanno, chi sono i tuoi amici e parenti stretti e se preferisci la glassa al cioccolato o alla vaniglia.

Broker di dati

Ci sono dozzine di broker di dati, come Whitepages, Intelius e Spokeo, che raccolgono dati online su di te e li combinano con registri pubblici e altri insiemi di dati pubblicamente disponibili. Poi vendono questi dati, di solito agli inserzionisti, ma spesso sono anche disponibili online a chiunque abbia un abbonamento.

Violazioni dei dati

Anche se varia, tutte le aziende ti chiedono alcune informazioni personali quando ti registri o crei un profilo online. Qualsiasi dato tu condivida con loro potrebbe essere esposto in caso di violazione dei dati da parte dell’azienda o del servizio.

Attacchi di phishing

Gli aggressori potrebbero anche tentare di ingannarti per farti rivelare dati personali con attacchi di phishing. Di solito cercano di instillare un senso di urgenza nel tentativo di farti rispondere senza pensare, ma puoi evitare di essere ingannato finché sei vigile. Se hai dei dubbi, non condividere i tuoi dati personali finché non hai verificato chi è dall’altra parte dell’email o del messaggio che hai ricevuto.

Scopri come prevenire gli attacchi di phishing

Come posso rimuovere i miei dati personali da internet?

Il modo più semplice per proteggere i tuoi dati personali è non condividerli in primo luogo, ma questa non è l’unica opzione. Se vuoi proteggere la tua privacy, puoi prendere misure per limitare la quantità dei tuoi dati personali presenti online.

Elimina o rendi privati i tuoi account sui social media

L’opzione più sicura è scaricare i tuoi dati da Facebook, Instagram, Twitter, Snapchat, TikTok, Linkedin e qualsiasi altro servizio di social media che utilizzi ed eliminare i tuoi account. Tuttavia, questa non è la tua unica opzione. Tutte le principali piattaforme di social media ti permettono di limitare chi può vedere i tuoi post e il tuo profilo. Questa è un’alternativa efficace se non vuoi rimuovere completamente la tua presenza dai social media.

Elimina il tuo profilo dai siti dei broker di dati

I broker di dati sono legalmente obbligati a cancellare i tuoi dati se lo richiedi, quindi questo dovrebbe essere il tuo prossimo passo. Il vantaggio aggiunto è che ciò rimuoverà anche la maggior parte dei tuoi dati personali dai risultati di ricerca di Google.

Sfortunatamente, se lo fai da solo, dovrai contattare ogni broker di dati individualmente. Tuttavia, questa guida fai-da-te(new window) ti guiderà attraverso i passaggi di opt-out per tutti i broker di dati più popolari.

Limita la quantità di dati che condividi con i servizi online

Dovresti trattare ogni servizio online a cui ti iscrivi come se potesse essere violato. Questo significa limitare le informazioni che condividi al minimo indispensabile per ricevere il servizio che desideri. Passi semplici, come eliminare un numero di carta di credito salvato o un indirizzo di casa dal tuo profilo, possono prevenire l’esposizione dei tuoi dati personali in caso di violazione.

Usa servizi che utilizzano una crittografia forte e hanno buone reputazioni

Anche se è estremamente difficile prevenire completamente tutte le violazioni dei dati, le aziende possono adottare misure proattive per mitigare i danni che una violazione potrebbe causare. Ad esempio, Proton Mail conserva tutte le email sui nostri server utilizzando la crittografia a zero accesso. Criptiamo i tuoi messaggi con la tua chiave pubblica e possono essere decifrati solo con la tua chiave privata, a cui noi non abbiamo accesso. Questo significa che se subissimo una violazione dei dati, i tuoi messaggi rimarrebbero al sicuro.

Questa non è una lista esaustiva, ma adottare questi quattro passaggi ridurrà drasticamente la quantità dei tuoi dati personali facilmente accessibili online e migliorerà in definitiva la tua privacy.

Per proteggere i tuoi dati personali e assicurare la tua email, prova Proton Mail gratuitamente(new window). Crediamo che tu debba poter scegliere cosa succede ai tuoi dati. Unisciti a noi nella nostra lotta per un internet in cui la privacy è la norma.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di
In risposta al crescente numero di violazioni dei dati, Proton Mail offre una funzionalità agli abbonati a pagamento chiamata Monitoraggio del Dark Web. Il nostro sistema verifica se le tue credenziali o altri dati sono stati diffusi su mercati illeg
Il tuo indirizzo email è la tua identità online, e lo condividi ogni volta che crei un nuovo account per un servizio online. Sebbene ciò offra comodità, lascia anche la tua identità esposta se gli hacker riescono a violare i servizi che utilizzi. Le
proton pass f-droid
La nostra missione in Proton è contribuire a creare un internet che protegga la tua privacy di default, assicuri i tuoi dati e ti dia la libertà di scelta. Oggi facciamo un altro passo in questa direzione con il lancio del nostro gestore di password