El problema de clasificación del que nadie habla
El informe de IBM sobre el costo de las brechas de datos de 2026 cifra el coste promedio en 4,88 millones de dólares. Una parte significativa proviene de un fallo específico: las organizaciones no sabían qué datos tenían, dónde estaban almacenados o si calificaban como PII hasta que ya estaban expuestos. No es un problema de herramientas de seguridad. Es un problema de clasificación.
PII — información de identificación personal — suena como un concepto sencillo. No lo es. Los marcos regulatorios no coinciden en las definiciones exactas. NIST SP 800-122 lo define diferente al GDPR. CCPA añade otra capa. Y entonces el equipo de ingeniería lanza una función que registra IPs en texto plano, y de repente estás discutiendo con tu DPO sobre obligaciones de notificación de brechas.
Esta guía elimina la ambigüedad con ejemplos concretos, casos límite del mundo real y las implicaciones de cumplimiento que realmente importan en 2026.
¿Qué se considera PII? El marco fundamental
La definición de NIST en SP 800-122 sigue siendo el referente del sector: la PII es cualquier información que pueda utilizarse para distinguir o rastrear la identidad de un individuo, ya sea sola o combinada con otra información vinculable a una persona específica. Esa segunda cláusula — combinada con otra información — es donde la mayoría de las organizaciones cometen errores.
¿Un nombre solo? Discutible. ¿Un nombre más empleador más código postal? Casi con certeza PII. Este es el problema de la vinculabilidad, y por eso las listas estáticas de categorías de PII pueden ser peligrosamente incompletas. El GDPR adopta una visión aún más amplia: cualquier dato relativo a una persona física identificada o identificable es dato personal, posición confirmada por el TJUE en el caso Breyer contra Alemania.
Identificadores directos vs. indirectos
Identificadores directos: nombre completo, número de seguridad social, número de pasaporte, licencia de conducir, datos biométricos, números de identidad gubernamentales. Identificadores indirectos: código postal, fecha de nacimiento, género, empleador, cargo, dirección IP, identificadores de dispositivo, cookies, datos de comportamiento, historial de ubicación.
Un estudio clásico de Carnegie Mellon demostró que el 87% de los estadounidenses podían identificarse únicamente con código postal, fecha de nacimiento y género. Tres identificadores indirectos — el riesgo de vinculabilidad hecho concreto.
Ejemplos de PII por categoría
Documentos de identidad y gubernamentales
Números de seguridad social, NIF/NIE, números de pasaporte, documentos nacionales de identidad y licencias de conducir son claramente PII bajo cualquier marco importante. Son también los objetivos más valiosos en campañas de robo de credenciales, y su exposición activa obligaciones de notificación bajo el GDPR Artículos 33 y 34.
Información de contacto y datos técnicos
Nombre completo, domicilio, correo electrónico personal y número de teléfono personal son PII. Una pregunta frecuente: ¿es un número de teléfono PII? Sí, sin ambigüedad. Bajo el GDPR son datos personales. Bajo NIST SP 800-122, un número de teléfono identifica directamente a una persona o puede combinarse fácilmente con otros datos.
Las direcciones IP, IDs de dispositivos, identificadores de cookies y datos de geolocalización también son PII. Los desarrolladores crean con mayor frecuencia exposiciones involuntarias a través de estos medios. Las herramientas de detección de secretos deben ir más allá de las claves API para cubrir archivos de log con datos personales — es un vector real de exposición PII en entornos cloud modernos.
Datos financieros, sanitarios y biométricos
Números de tarjeta de crédito, cuentas bancarias y puntuaciones crediticias son PII financiero. Historiales médicos, números de seguro de salud e información de prescripciones son PII sanitario. Los datos biométricos — huellas, reconocimiento facial, escáneres de iris — son especialmente sensibles por ser inmutables. El Artículo 9 del GDPR los clasifica como categoría especial.
PII Sensible: El nivel de mayor riesgo
La PII sensible es el subconjunto que requiere mayor protección. Incluye: números de seguridad social, números de cuenta con códigos de seguridad, datos biométricos, información sanitaria, orientación sexual e identidad de género, creencias religiosas y políticas, origen racial o étnico, antecedentes penales, geolocalización precisa y contraseñas. El Artículo 9 del GDPR exige consentimiento explícito para su tratamiento. Las infracciones pueden acarrear multas de hasta 20 millones de euros o el 4% de la facturación global. La automatización del cumplimiento es esencial — las auditorías manuales no escalan.
PII en entornos Cloud y controles técnicos
A escala cloud, las copias de datos proliferan, los entornos de desarrollo se alimentan con datos de producción y los buckets S3 se configuran incorrectamente. Las herramientas CSPM escanean continuamente buscando configuraciones erróneas que expongan PII. El análisis estático integrado en pipelines CI/CD detecta PII en el código fuente antes de que llegue a producción. La gestión de vulnerabilidades asegura que los sistemas que almacenan PII no tengan vulnerabilidades sin parchear. El inventario cloud completo elimina puntos ciegos en la clasificación de PII.
Lo que realmente exigen los marcos de cumplimiento
El GDPR impone siete principios: licitud, limitación de finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. El Artículo 25 exige privacidad desde el diseño. Las brechas se notifican en 72 horas. NIST Privacy Framework ofrece un enfoque basado en riesgos adoptado cada vez más como línea de base comercial. CCPA y CPRA amplían los derechos de los individuos en California, con leyes similares en otros estados estadounidenses.
En SECRAILS, vemos estos patrones repetidamente en evaluaciones de seguridad cloud. La exposición de PII raramente es el resultado de ataques sofisticados — casi siempre es un fallo de configuración o de proceso que podría haberse detectado antes en el ciclo de desarrollo.

