Secrails LogoSECRAILS
Volver al BlogPrivacidad y Protección de Datos

Ejemplos de PII: Qué cuenta como información de identificación personal en 2026

secrails··11 min
Data PrivacyPII ProtectionGDPRComplianceCloud Security
Mapa de clasificación visual de ejemplos de PII con categorías de datos sensibles incluyendo SSN, biometría, registros financieros y direcciones IP en un sistema seguro de gobernanza de datos

El problema de clasificación del que nadie habla

El informe de IBM sobre el costo de las brechas de datos de 2026 cifra el coste promedio en 4,88 millones de dólares. Una parte significativa proviene de un fallo específico: las organizaciones no sabían qué datos tenían, dónde estaban almacenados o si calificaban como PII hasta que ya estaban expuestos. No es un problema de herramientas de seguridad. Es un problema de clasificación.

PII — información de identificación personal — suena como un concepto sencillo. No lo es. Los marcos regulatorios no coinciden en las definiciones exactas. NIST SP 800-122 lo define diferente al GDPR. CCPA añade otra capa. Y entonces el equipo de ingeniería lanza una función que registra IPs en texto plano, y de repente estás discutiendo con tu DPO sobre obligaciones de notificación de brechas.

Esta guía elimina la ambigüedad con ejemplos concretos, casos límite del mundo real y las implicaciones de cumplimiento que realmente importan en 2026.

¿Qué se considera PII? El marco fundamental

La definición de NIST en SP 800-122 sigue siendo el referente del sector: la PII es cualquier información que pueda utilizarse para distinguir o rastrear la identidad de un individuo, ya sea sola o combinada con otra información vinculable a una persona específica. Esa segunda cláusula — combinada con otra información — es donde la mayoría de las organizaciones cometen errores.

¿Un nombre solo? Discutible. ¿Un nombre más empleador más código postal? Casi con certeza PII. Este es el problema de la vinculabilidad, y por eso las listas estáticas de categorías de PII pueden ser peligrosamente incompletas. El GDPR adopta una visión aún más amplia: cualquier dato relativo a una persona física identificada o identificable es dato personal, posición confirmada por el TJUE en el caso Breyer contra Alemania.

Identificadores directos vs. indirectos

Identificadores directos: nombre completo, número de seguridad social, número de pasaporte, licencia de conducir, datos biométricos, números de identidad gubernamentales. Identificadores indirectos: código postal, fecha de nacimiento, género, empleador, cargo, dirección IP, identificadores de dispositivo, cookies, datos de comportamiento, historial de ubicación.

Un estudio clásico de Carnegie Mellon demostró que el 87% de los estadounidenses podían identificarse únicamente con código postal, fecha de nacimiento y género. Tres identificadores indirectos — el riesgo de vinculabilidad hecho concreto.

Ejemplos de PII por categoría

Documentos de identidad y gubernamentales

Números de seguridad social, NIF/NIE, números de pasaporte, documentos nacionales de identidad y licencias de conducir son claramente PII bajo cualquier marco importante. Son también los objetivos más valiosos en campañas de robo de credenciales, y su exposición activa obligaciones de notificación bajo el GDPR Artículos 33 y 34.

Información de contacto y datos técnicos

Nombre completo, domicilio, correo electrónico personal y número de teléfono personal son PII. Una pregunta frecuente: ¿es un número de teléfono PII? Sí, sin ambigüedad. Bajo el GDPR son datos personales. Bajo NIST SP 800-122, un número de teléfono identifica directamente a una persona o puede combinarse fácilmente con otros datos.

Las direcciones IP, IDs de dispositivos, identificadores de cookies y datos de geolocalización también son PII. Los desarrolladores crean con mayor frecuencia exposiciones involuntarias a través de estos medios. Las herramientas de detección de secretos deben ir más allá de las claves API para cubrir archivos de log con datos personales — es un vector real de exposición PII en entornos cloud modernos.

Datos financieros, sanitarios y biométricos

Números de tarjeta de crédito, cuentas bancarias y puntuaciones crediticias son PII financiero. Historiales médicos, números de seguro de salud e información de prescripciones son PII sanitario. Los datos biométricos — huellas, reconocimiento facial, escáneres de iris — son especialmente sensibles por ser inmutables. El Artículo 9 del GDPR los clasifica como categoría especial.

PII Sensible: El nivel de mayor riesgo

La PII sensible es el subconjunto que requiere mayor protección. Incluye: números de seguridad social, números de cuenta con códigos de seguridad, datos biométricos, información sanitaria, orientación sexual e identidad de género, creencias religiosas y políticas, origen racial o étnico, antecedentes penales, geolocalización precisa y contraseñas. El Artículo 9 del GDPR exige consentimiento explícito para su tratamiento. Las infracciones pueden acarrear multas de hasta 20 millones de euros o el 4% de la facturación global. La automatización del cumplimiento es esencial — las auditorías manuales no escalan.

PII en entornos Cloud y controles técnicos

A escala cloud, las copias de datos proliferan, los entornos de desarrollo se alimentan con datos de producción y los buckets S3 se configuran incorrectamente. Las herramientas CSPM escanean continuamente buscando configuraciones erróneas que expongan PII. El análisis estático integrado en pipelines CI/CD detecta PII en el código fuente antes de que llegue a producción. La gestión de vulnerabilidades asegura que los sistemas que almacenan PII no tengan vulnerabilidades sin parchear. El inventario cloud completo elimina puntos ciegos en la clasificación de PII.

Lo que realmente exigen los marcos de cumplimiento

El GDPR impone siete principios: licitud, limitación de finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. El Artículo 25 exige privacidad desde el diseño. Las brechas se notifican en 72 horas. NIST Privacy Framework ofrece un enfoque basado en riesgos adoptado cada vez más como línea de base comercial. CCPA y CPRA amplían los derechos de los individuos en California, con leyes similares en otros estados estadounidenses.

En SECRAILS, vemos estos patrones repetidamente en evaluaciones de seguridad cloud. La exposición de PII raramente es el resultado de ataques sofisticados — casi siempre es un fallo de configuración o de proceso que podría haberse detectado antes en el ciclo de desarrollo.

Frequently Asked Questions

¿Cuáles son los ejemplos más comunes de PII?

Los ejemplos de PII más comunes incluyen: nombres completos, números de seguridad social, domicilios, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, números de pasaporte, licencias de conducir, direcciones IP, identificadores de dispositivo y números de cuenta financiera. Los datos biométricos como huellas dactilares y plantillas de reconocimiento facial también califican como PII sensible bajo el GDPR y NIST SP 800-122.

¿Se considera PII un número de teléfono?

Sí, un número de teléfono es PII. Bajo el GDPR es dato personal porque puede identificar a un individuo específico. NIST SP 800-122 trata los números de teléfono como PII porque o bien identifican directamente a una persona o pueden combinarse con otros datos para lograrlo. La distinción principal es entre números personales, que son inequívocamente PII, y líneas corporativas generales donde responden múltiples personas.

¿Cuál es la diferencia entre PII y PII sensible?

La PII es cualquier información que pueda identificar a un individuo. La PII sensible es un subconjunto que requiere mayor protección porque su exposición causa un daño mayor. Incluye números de seguridad social, datos biométricos, información sanitaria, números de cuenta con códigos de seguridad y categorías especiales del GDPR como origen racial, orientación sexual y creencias religiosas. La distinción afecta los requisitos de cifrado, los estándares de control de acceso y los umbrales de notificación de brechas.

¿Se aplica el GDPR a todos los tipos de PII?

El GDPR se aplica a los datos personales, un concepto más amplio que la definición tradicional estadounidense de PII. Bajo el GDPR, cualquier información relativa a una persona física identificada o identificable es dato personal, incluyendo identificadores indirectos como IPs, cookies y datos de ubicación. Si tu organización trata datos de residentes de la UE, el GDPR se aplica independientemente de dónde esté ubicada la organización.

¿Cómo deben proteger las organizaciones la PII en entornos cloud?

La protección efectiva de PII en entornos cloud requiere controles en capas: descubrimiento automático de PII para saber dónde existen datos personales en almacenamiento, bases de datos y logs; herramientas CSPM para detectar configuraciones incorrectas; cifrado AES-256 en reposo y TLS 1.3 en tránsito; controles de acceso de mínimo privilegio; análisis estático en pipelines CI/CD para detectar PII en código antes del despliegue; y gestión continua de vulnerabilidades. Los entornos de desarrollo deben usar datos sintéticos en lugar de PII de producción.

Detén la exposición de PII antes de que se convierta en una brecha

Automatiza el descubrimiento de PII, clasifica los datos sensibles en toda tu infraestructura cloud y aplica controles de cumplimiento de forma continua, no solo en el momento de la auditoría.

Explorar automatización del cumplimiento