Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Información personal identificable (PII) e información de salud protegida (PHI)

Inicio Glosario PII y PHI Privados

¿Qué son PII y PHI?

La información personal identificable (PII) es cualquier dato que podría identificar potencialmente a un individuo específico. Esto incluye información como nombres y apellidos, direcciones, números de Seguro Social, números de licencia de conducir, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, detalles de cuentas bancarias, números y puntuaciones de crédito, e información de pasaportes.

PHI, o información de salud protegida, es un subconjunto de PII que se relaciona específicamente con el historial de salud y/o estado de un individuo. Esto incluye cosas como registros médicos y reclamaciones de seguros.

A continuación, se examinan tanto PII como PHI y se ofrece una visión general de las leyes y regulaciones de privacidad de datos que existen en los EE. UU. así como en otros países seleccionados.

PII y PHI Privados

Leyes de Privacidad de Datos para Proteger PII

Existen numerosas leyes de privacidad de datos para proteger la PII de un individuo. Más de 80 países actualmente tienen algún tipo de ley de privacidad de datos relacionada con PII y/o PHI. Los tipos de PII incluyen lo siguiente:

  • Nombre
  • Dirección
  • Correo electrónico
  • Número de teléfono
  • Fecha de nacimiento
  • Pasaporte, licencia de conducir u otros números de identificación emitidos por el gobierno
  • Número de Seguro Social o equivalente de identificación gubernamental
  • Huellas dactilares u otros datos biométricos
  • Número de tarjeta de crédito o débito

Regulaciones de Cumplimiento de Privacidad de Datos PII en EE. UU.

En EE. UU., no existe una sola ley o regulación que gobierne la PII. Hay un mosaico de leyes federales y estatales, regulaciones de cumplimiento específicas del sector, y otras leyes y estándares que regulan la recopilación, uso, procesamiento y divulgación de PII.

La Ley Gramm-Leach-Bliley y PII

La Ley Gramm-Leach-Bliley (GLBA) es una ley federal que regula cómo se puede recopilar, usar y compartir la PII. GLBA fue promulgada en respuesta a la creciente preocupación sobre la amenaza a la privacidad del consumidor planteada por el uso creciente de medios electrónicos y datos.

GLBA consta de tres secciones: 1) la Regla de Privacidad Financiera que gobierna la recopilación y divulgación de información financiera, 2) la Regla de Salvaguardas que obliga a las instituciones financieras a implementar protocolos de seguridad para proteger la información recopilada, y 3) las Disposiciones de Pretexting que cubren intentos pretenciosos de acceder a información sensible.

GLBA requiere que las instituciones financieras den a los clientes un aviso anual de políticas de privacidad. También otorga a los clientes el derecho de optar por no compartir su PII con terceros.

La Ley de Privacidad del Consumidor de California y PII

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020, y proporciona a los consumidores nuevos derechos para saber qué información personal se está recopilando sobre ellos, el derecho a que esa información sea eliminada, y el derecho a rechazar la venta de su información personal.

La CCPA también impone nuevas obligaciones a las empresas sujetas a la ley, incluyendo la divulgación de qué categorías de información personal recopilan y proporcionar una manera para que los consumidores soliciten la eliminación de sus datos. La CCPA fue promulgada para abordar el aumento de incidentes de violaciones de datos en los sectores de tecnología, medios, entretenimiento y telecomunicaciones.

La Ley de Informes de Crédito Justos y PII

La Ley de Informes de Crédito Justos (FCRA) ayuda a garantizar que las agencias de informes de crédito utilicen información precisa y justa al tomar decisiones sobre la solvencia de alguien. Esto es importante porque la información inexacta podría llevar a la denegación injusta de crédito u otras oportunidades. También describe cómo se utiliza, comparte y accede a esta información para limitar cualquier práctica ilegal.

La Ley de Protección de Datos del Consumidor en Virginia y PII

El 2 de marzo de 2021, Virginia aprobó su equivalente de la CCPA en forma de la Ley de Protección de Datos del Consumidor (CDPA). Establece un marco para controlar y procesar la PII en la Commonwealth y se aplica a todas las personas que realizan negocios en la Commonwealth y que 1) controlan o procesan la PII de al menos 100,000 consumidores o 2) derivan más del 50% de sus ingresos brutos de la venta de datos personales y controlan o procesan la PII de al menos 25,000 consumidores.

La ley otorga a los consumidores derechos para acceder, corregir, eliminar y obtener una copia de la PII y para optar por no participar en el procesamiento de PII con fines de publicidad dirigida, venta de PII o perfilado del consumidor. La CDPA entrará en vigor el 1 de enero de 2023.

Regulaciones de Cumplimiento de Privacidad de Datos PII en EMEA, Canadá y APJ

La ley de privacidad de datos más conocida es el Reglamento General de Protección de Datos (GDPR) en la Unión Europea. Pero existen otras regulaciones de cumplimiento relacionadas con la privacidad de datos en otros lugares, como la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) de Canadá y la Ley de Protección de Datos de 2018 (DPA 2018) del Reino Unido.

GDPR y PII

El GDPR es un reglamento de la Unión Europea (UE) que entró en vigor el 25 de mayo de 2018. Fortalece las reglas de protección de datos de la UE al dar a los individuos más control sobre sus datos personales, incluyendo el derecho a que sus datos sean borrados y el derecho a oponerse a su uso. Bajo el GDPR, las organizaciones deben tomar medidas para proteger los datos de los usuarios contra el acceso accidental o no autorizado, destrucción, alteración o uso no autorizado.

Establece reglas estrictas sobre cómo los datos personales deben ser recopilados, utilizados y protegidos por las organizaciones que operan en la UE. El GDPR cambió completamente la forma en que las empresas deben manejar los datos personales.

Este reglamento se aplica a cualquier empresa que procese o tenga la intención de procesar los datos de individuos que residen en la UE, independientemente de si esa empresa está basada dentro o fuera de Europa.

PIPEDA y PII

Desde que entró en vigor en 2001, la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) regula cómo las organizaciones recopilan, usan y divulgan la información personal de los canadienses. PIPEDA se aplica a cualquier organización que recopile, use o divulgue información personal en el curso de actividades comerciales, lo que significa prácticamente todas las empresas que operan en Canadá.

En 2018, PIPEDA fue actualizada para proteger mejor la información personal de los canadienses.

Aunque PIPEDA se aplica a todas las organizaciones con presencia comercial en Canadá, no se aplica a ciertos tipos de negocios, como aquellos regulados por leyes provinciales o territoriales que gobiernan la información de salud.

DPA 2018 y PII

La Ley de Protección de Datos de 2018 (DPA 2018) del Reino Unido establece reglas sobre cómo los datos personales deben ser recopilados, procesados y almacenados por las organizaciones. La ley se aplica a cualquier organización que procese o tenga la intención de procesar los datos de residentes del Reino Unido, independientemente de si la organización está basada en el Reino Unido o no.

Evaluando el Impacto de las Violaciones de PII

Los datos PII continúan siendo muy atractivos para los actores de amenazas porque pueden usarlos para el robo de identidad y fraude. Cientos de millones de personas se ven afectadas por violaciones de PII cada año. Las empresas sufren pérdida de ingresos, daño reputacional y sanciones regulatorias cuando sufren un ataque.

¿Qué es PHI?

Para que los datos de salud se consideren información de salud protegida (PHI) y sean regulados por la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), deben ser 1) personalmente identificables para el paciente y 2) utilizados o divulgados a una entidad cubierta durante el curso de la atención. Como tal, aunque PHI es similar a PII y un subconjunto, no es exactamente lo mismo.

Estándares HIPAA para Proteger PHI

Cuando se trata de PHI, HIPAA fue aprobada y promulgada en 1996 con el propósito de establecer estándares estrictos sobre cómo debe protegerse la PHI. El cumplimiento de HIPAA detalla 18 identificadores de información diferentes para PHI que pueden usarse para identificar, contactar o localizar a la persona. Son:

  • Nombre
  • Dirección (cualquier cosa más pequeña que un estado)
  • Fechas (excepto años) relacionadas con individuos, como fecha de nacimiento, fecha de admisión, etc.
  • Número de teléfono
  • Número de fax
  • Dirección de correo electrónico
  • Número de Seguro Social
  • Número de registro médico
  • Número de beneficiario del plan de salud
  • Número de cuenta
  • Número de certificado o licencia
  • Identificadores de vehículos, como números de matrícula y números de serie
  • Identificadores de dispositivos
  • URL web
  • Direcciones de Protocolo de Internet (IP)
  • Identificadores biométricos como huellas dactilares o huellas de voz
  • Fotografías de cara completa y otras fotos de características identificativas
  • Cualquier otra característica única calificativa

La divulgación no autorizada de PHI es una violación grave de HIPAA, por lo que es importante que las entidades cubiertas (CEs) tomen medidas para asegurar los datos sensibles de los pacientes.

Todas las empresas que manejan PHI deben seguir HIPAA. Esto incluye mantener la confidencialidad de los datos de los pacientes y garantizar que solo las personas autorizadas puedan acceder a ellos. Las entidades cubiertas deben tener medidas de seguridad para proteger la PHI. Las entidades cubiertas incluyen:

  • Consultorios médicos, consultorios dentales, clínicas, psicólogos
  • Hogares de ancianos, farmacias, hospitales o agencias de salud en el hogar
  • Planes de salud, compañías de seguros y organizaciones de mantenimiento de salud (HMOs)
  • Programas gubernamentales que pagan por atención médica
  • Clearinghouses de atención médica

Las medidas de seguridad que estas organizaciones deben tener para proteger la información del paciente incluyen cifrado, seguridad física y sistemas de control de acceso.

HITECH para Proteger PHI

En 2009, la Ley de Tecnología de Información de Salud para la Economía y la Salud Clínica (HITECH) fue promulgada como parte de la Ley de Recuperación y Reinversión de Estados Unidos. El objetivo principal de HITECH era estimular la adopción de tecnología de información de salud (IT de salud) e intercambio para mejorar la calidad y eficiencia de la atención médica.

Una forma en que lo hace es estableciendo requisitos para la privacidad y seguridad de la información de salud electrónica. Estos requisitos están diseñados para proteger la PHI de los pacientes contra el acceso, uso o divulgación no autorizados.

Relación Entre HIPAA y HITECH

Aunque la Regla de Privacidad de HIPAA se aplica solo a las “Entidades Cubiertas” (planes de salud, clearinghouses de atención médica y proveedores de atención médica que transmiten cualquier información de salud en forma electrónica) y sus Asociados Comerciales, la Ley HITECH requiere que el Departamento de Salud y Servicios Humanos adopte nuevos conjuntos de regulaciones.

Un resultado es la Regla de Notificación de Violaciones, que requiere que las entidades cubiertas y sus asociados comerciales notifiquen a los individuos afectados y al Secretario de HHS en caso de una violación que involucre información de salud protegida electrónica (ePHI). La notificación debe emitirse sin demora y no más tarde de 60 días después del descubrimiento de la violación. Tanto HITECH como HIPAA también requieren que la información de salud protegida (PHI) sea cifrada en tránsito así como cuando se almacena en dispositivos y otros medios.

Evaluando el Impacto de las Violaciones de PHI y PII

La industria de la salud sigue siendo la industria más violada durante 12 años consecutivos. El impacto financiero, reputacional y regulatorio de una violación de datos asciende a millones de dólares y puede tener efectos duraderos en la organización que fue violada, sin mencionar a los individuos cuya PHI fue violada.

Las violaciones de PII y PHI son una gran preocupación para las organizaciones. El impacto de solo una violación puede sumar millones de dólares. Para 2022, IBM y el Instituto Ponemon, en su último “Informe del Costo de una Violación de Datos”, encontraron que el costo promedio de una violación de datos es de $4.35 millones. Esto no incluye el impacto negativo en una marca cuando se divulga la violación de datos al público.

La amenaza que los ciberdelincuentes y los estados nacionales deshonestos representan para la atención médica y otras instituciones es significativa, y los legisladores y la industria de la salud continúan evolucionando los estándares de cumplimiento regulatorio en un esfuerzo por fortalecer los protocolos y capacidades de seguridad para protegerlos de ataques maliciosos. Y cuando se trata de PHI, esto es ciertamente cierto. Los registros de PHI a menudo obtienen el precio más alto en la web oscura.

Las organizaciones que buscan administrar su riesgo cibernético en relación con PII y PHI pueden implementar varios principios de ciberseguridad para ayudar a minimizar el riesgo. Estos deben incluirse como parte de la estrategia de administración de riesgos cibernéticos de una organización.

Evalúa qué PII y PHI recopila y almacena tu negocio

Si eres dueño o diriges un negocio, es importante entender qué son PII y PHI y cómo protegerlos. Esto requiere un enfoque integral de clasificación de datos. Si tu negocio recopila y almacena PII y PHI, el riesgo de una violación de datos es inmenso si no tienes los controles de seguridad y gobernanza adecuados y el seguimiento en su lugar.

Para evaluar qué PII y PHI recopila y almacena tu negocio, revisa el tipo de información que recopilas de clientes, socios, empleados y otras personas. Consulta arriba para ver una lista de PII y PHI.

Ten medidas de seguridad sólidas para proteger PII y PHI

Aquí hay algunos pasos prácticos que puedes tomar para proteger PII y PHI y reducir las posibilidades de que ocurra una violación:

  • Emplea un enfoque de defensa en profundidad
  • Usa cifrado para todos los datos en movimiento y en reposo
  • Protege PII y PHI sin interferir con los usuarios
  • Define permisos basados en roles para usuarios internos y externos (terceros)
  • Aplica controles de políticas granulares para proteger la privacidad de los datos
  • Aplica políticas de riesgo de contenido de manera consistente en todos los canales de comunicación

Unifica las comunicaciones de contenido sensible en una sola plataforma

El enfoque de seguridad recomendado para proteger PII y PHI es una plataforma que unifique y centralice la gobernanza y protección de todos los datos en movimiento y en reposo. Con la mayoría de las empresas trabajando con múltiples terceros, una sola plataforma asegura políticas y controles consistentes en cada transacción y a través de canales de comunicación aislados como correo electrónico, uso compartido de archivos, transferencia de archivos administrada, formularios web y interfaces de programación de aplicaciones (APIs).

Capacita a los empleados en las mejores prácticas para manejar PII y PHI

Todas las empresas tienen PII que necesita ser protegida, y la mayoría tiene algo de PHI. La capacitación de los empleados es clave para mantener esta información segura y garantizar el cumplimiento. Algunas prácticas recomendadas incluyen:

  • Solo recopila la cantidad mínima de PII y PHI necesaria para fines comerciales.
  • Mantén PII y PHI seguros almacenándolos en una base de datos protegida por contraseña y cifrada.
  • Usa autenticación multifactor (MFA) para acceder a PII y PHI, incluyendo los sistemas utilizados para enviar, compartir, recibir y almacenarlos.
  • Nunca compartas PII o PHI sin el consentimiento explícito de la persona involucrada.
  • Asegúrate de que los empleados sepan cómo detectar intentos de phishing y otras amenazas de ciberseguridad a través de una capacitación rigurosa y continua en concienciación sobre seguridad.

Limita la cantidad de PII recopilada a solo lo necesario

Si bien es esencial que las empresas recopilen algo de PII para proporcionar servicios o bienes, es importante limitar la cantidad de PII recopilada a solo lo que es absolutamente necesario.

Evalúa por qué tu negocio necesita ciertos tipos de PII y si hay alternativas que te permitirían lograr tus objetivos sin recopilar información sensible.

Protege la PII almacenada con medidas de seguridad físicas, tecnológicas y organizativas

Cuando se trata de proteger la PII almacenada, las organizaciones deben adoptar un enfoque de múltiples capas. Esto significa que deben estar en su lugar medidas de seguridad físicas, tecnológicas y organizativas para crear una defensa robusta contra las violaciones de datos.

La PII debe ser cifrada en movimiento y en reposo. El cifrado debe extenderse desde el intercambio digital de PII interna y externamente hasta cuando se almacena en el sistema final del destinatario (por ejemplo, correo electrónico, sistema de archivos, etc.).

Destruye o desidentifica la PII cuando ya no sea necesaria

Una forma de reducir el riesgo cibernético de PII es destruirla o desidentificarla una vez que ya no sea necesaria. Esto asegura que la PII no pueda ser utilizada para robo de identidad, fraude o rescate. Además, las empresas deben tener una política de retención de datos que describa cuánto tiempo debe mantenerse la PII en archivo. Al tomar estas precauciones, las empresas pueden ayudar a garantizar que la PII esté segura y protegida.

Usando una Red de Contenido Privado para Proteger PII y PHI

La Red de Contenido Privado de Kiteworks unifica las comunicaciones de contenido sensible, que incluyen PII y PHI, en una sola plataforma. La gobernanza y seguridad centralizadas te permiten establecer políticas de riesgo de contenido que rastrean y controlan quién puede acceder a PII y PHI, quién puede modificar el contenido y a quién se puede enviar. El cifrado de extremo a extremo, los controles automatizados y un enfoque de seguridad de defensa en profundidad agilizan el intercambio digital de información privada, incluyendo PII y PHI.

Programa una demostración personalizada de la Red de Contenido Privado de Kiteworks para ver cómo mantiene la PII y PHI privadas y tu organización en cumplimiento con las regulaciones de privacidad de datos.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks