Información de Identificación Personal
PII (Personally Identifiable Information) designa toda información que permite identificar directa o indirectamente a una persona física. Incluye nombre, dirección, número de seguridad social, datos biométricos y cualquier combinación de elementos que pueda conducir a la identificación.
El concepto de PII es un pilar fundamental de la protección de datos en todo el mundo. Abarca dos categorías: identificadores directos (nombre completo, número de pasaporte, número de seguridad social) que permiten identificar por sí solos a una persona, e identificadores indirectos (fecha de nacimiento, código postal, profesión) que, combinados entre sí, pueden permitir la identificación. El RGPD europeo utiliza el concepto más amplio de «datos personales», que cubre las PII y se extiende además a los identificadores en línea y los datos de localización.
En los procesos de KYC y cumplimiento normativo, las PII están en el centro de cada verificación de identidad. Las empresas recopilan necesariamente PII — copias de documentos de identidad, justificantes de domicilio, datos bancarios — para cumplir con sus obligaciones regulatorias. Esto genera una tensión permanente entre el imperativo de verificación y el deber de protección: cada PII almacenada representa un riesgo potencial en caso de brecha de seguridad.
Las regulaciones internacionales (RGPD en Europa, CCPA en California, LGPD en Brasil, LOPDGDD en España) imponen obligaciones estrictas para el tratamiento de PII: base legal documentada, plazos de conservación limitados, medidas de seguridad técnicas y organizativas, y derechos de acceso y supresión para los interesados. Soluciones de verificación modernas como CheckFile.ai minimizan la exposición de PII extrayendo únicamente los datos necesarios y sin conservar copias de documentos más allá del proceso de verificación.
Regulaciones
Ejemplos concretos
- 1Un proveedor de verificación de identidad clasifica los campos extraídos de un pasaporte — nombre, fecha de nacimiento, número de documento — como PII y aplica cifrado AES-256 para su almacenamiento, con eliminación automática tras 90 días.
- 2Una fintech californiana recibe una solicitud CCPA de un usuario que desea conocer todas las PII almacenadas sobre él: debe proporcionar un inventario completo que incluya datos KYC, historial de inicio de sesión y metadatos de verificación.
- 3Un departamento de recursos humanos automatiza la anonimización de las PII de los candidatos no seleccionados seis meses después del cierre del proceso de selección, conforme a las recomendaciones de la AEPD sobre conservación de datos de candidatos.