Secrails LogoSECRAILS
Volver al BlogPrivacidad y Protección de Datos

Ejemplos de PII: Qué se considera información de identificación personal en 2026

secrails··10 min
Data PrivacyPIIGDPRComplianceData Protection
Ilustración digital de tipos de datos PII como tarjetas de datos etiquetadas flotantes — nombre, SSN, biometría, dirección IP — sobre fondo azul oscuro con niveles de clasificación

El informe de IBM sobre el Costo de una Brecha de Datos 2026 situó el coste medio global de una brecha en 4,88 millones de dólares — y el denominador común de la mayoría de esos incidentes fue la exposición de información de identificación personal. La PII es a la vez el activo más atacado en los ciberataques modernos y el término menos consistentemente definido en los programas de gobernanza de datos de la mayoría de las organizaciones.

Los ingenieros de seguridad debaten constantemente sobre ello. Los equipos legales lo interpretan de manera diferente. Y los reguladores — GDPR, CCPA, HIPAA, NIST — no siempre están de acuerdo en dónde se trazan las líneas. Vamos a eliminar la ambigüedad y ser específicos sobre qué es realmente la PII, cuáles son los mejores ejemplos en diferentes marcos regulatorios y qué debe hacer tu equipo para protegerla.

¿Qué es la PII? La definición de trabajo

PII — información de identificación personal — se refiere a cualquier dato que pueda usarse, solo o en combinación con otros datos, para identificar a una persona específica. Esa última parte importa: solo o en combinación. Un nombre por sí solo puede parecer inofensivo. Combinado con empleador, código postal y fecha de nacimiento, creas una combinación de cuasi-identificadores que puede re-identificar a alguien con una precisión sorprendente.

NIST SP 800-122 define la PII como información que puede distinguir o rastrear la identidad de una persona, sola o en combinación con otra información vinculada. El GDPR utiliza el término más amplio de datos personales — cualquier información relativa a una persona física identificada o identificable. Una dirección IP estática es definitivamente PII bajo el GDPR; la respuesta es más ambigua según los estándares federales de EE. UU. más antiguos.

Ejemplos directos de PII

Los identificadores directos son puntos de datos que, por sí solos, identifican de forma única a una persona. Estos son los activos de alta prioridad en cualquier política de clasificación de datos:

  • Nombre completo — Nombre, segundo nombre, apellidos, nombre de soltera, alias legales
  • Número de Seguridad Social — El ejemplo estadounidense por excelencia de PII sensible
  • Número de pasaporte — Emitido por el gobierno; vinculado de forma única a una persona globalmente
  • Número de permiso de conducir — Emitido por el estado; identificador directo
  • Números de identidad nacional — NIF en España, CURP en México, DNI en Argentina
  • Datos biométricos — Huellas dactilares, escáneres de retina, geometría facial, huellas vocales, secuencias de ADN
  • Números de cuentas financieras — Cuentas bancarias, números de tarjeta de crédito y débito, IBAN
  • Números de historia clínica — Bajo HIPAA, son PHI, un subconjunto de PII

Los datos biométricos no son solo PII — son PII sensible, y bajo el Artículo 9 del GDPR, son una categoría especial de datos que requiere consentimiento explícito y protección reforzada.

Ejemplos indirectos de PII

Los identificadores indirectos son los que atrapan incluso a los equipos de cumplimiento experimentados. Los números de teléfono son inequívocamente PII bajo el GDPR, CCPA y NIST SP 800-122. El TJUE dictaminó en Breyer contra Alemania que las direcciones IP dinámicas constituyen datos personales bajo la legislación de la UE. Las direcciones de correo electrónico, los datos de geolocalización precisa y los identificadores de dispositivos como las direcciones MAC también califican y deben incluirse en cualquier política de manejo de datos moderna.

PII sensible: La categoría de mayor riesgo

No toda la PII conlleva el mismo riesgo. La PII sensible es aquella cuya exposición causa daños desproporcionados. Los ejemplos incluyen números de Seguridad Social, identificadores biométricos, credenciales de cuentas financieras, información médica, orientación sexual, creencias religiosas o políticas, estatus migratorio y datos genéticos. El Artículo 9 del GDPR enumera categorías especiales que requieren consentimiento explícito y salvaguardias adicionales.

PII en el código: Donde los ingenieros realmente pierden datos

La PII no solo se filtra desde bases de datos comprometidas — también lo hace desde el código de la aplicación. Claves API codificadas, logs de depuración con payloads completos y mensajes de error que devuelven datos de usuarios son fuentes clásicas de fuga. Las capacidades de Secret Detection en las plataformas de seguridad modernas existen precisamente porque los desarrolladores cometen accidentalmente credenciales que otorgan acceso a los almacenes de PII. El análisis estático mediante herramientas SAST puede detectar patrones peligrosos antes de que lleguen a producción.

Controles técnicos y organizativos para la protección de PII

Las herramientas automatizadas deben escanear el almacenamiento en la nube, las bases de datos y los data lakes en busca de patrones PII. La visibilidad del Cloud Inventory es fundamental. La PII sensible en reposo debe cifrarse a nivel de campo. La tokenización reemplaza la PII con tokens no sensibles. Los errores de configuración de IAM en entornos cloud son uno de los principales vectores de exposición de PII — exactamente ahí es donde las herramientas CSPM aportan valor medible. Policy-as-Code permite aplicar automáticamente reglas de protección de datos antes de que la infraestructura llegue a producción.

Cumplimiento de PII: Obligaciones regulatorias

Para las organizaciones sujetas al GDPR, los requisitos son exigentes: base legal para el tratamiento, derechos de los interesados, evaluaciones de impacto y notificación de brechas en 72 horas. Las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global. El problema de la agregación es uno de los riesgos de PII más subestimados: datos individuales inofensivos se vuelven identificadores y dañinos cuando se combinan. El ecosistema de herramientas de Compliance ha evolucionado para automatizar la recopilación de evidencias. La postura de Cloud Security de tu entorno afecta directamente a la superficie de exposición de PII — los servicios cloud mal configurados exponen regularmente datos que nunca deberían haber sido accesibles externamente.

Frequently Asked Questions

¿Cuáles son los ejemplos más comunes de PII?

Los ejemplos más comunes de PII incluyen nombres completos, números de Seguridad Social, números de pasaporte y permiso de conducir, direcciones de correo electrónico, números de teléfono, direcciones físicas, direcciones IP y datos biométricos como huellas dactilares y geometría facial. Los números de cuentas financieras, números de historia clínica e identificadores de dispositivos como direcciones MAC también califican.

¿Se considera un número de teléfono como PII?

Sí, los números de teléfono se consideran universalmente PII bajo el GDPR, CCPA y NIST SP 800-122. Un número de teléfono se vincula directamente a un suscriptor registrado. Los números de teléfono móvil tienen mayor sensibilidad que los fijos de trabajo y deben tratarse como PII sensible en la mayoría de las políticas de manejo de datos.

¿Cuál es la diferencia entre PII y PII sensible?

La PII es cualquier dato que puede identificar a una persona, mientras que la PII sensible es un subconjunto cuya exposición causa daños desproporcionados como pérdida financiera, discriminación o robo de identidad. Ejemplos de PII sensible incluyen SSN, datos biométricos, credenciales de cuentas financieras, historias clínicas, orientación sexual, estatus migratorio y datos genéticos.

¿Cómo define el GDPR la PII en comparación con las regulaciones de EE. UU.?

El GDPR utiliza el término datos personales y aplica la definición más amplia: cualquier información relativa a una persona física identificada o identificable, incluidos datos pseudonimizados y direcciones IP. Los marcos de EE. UU. como NIST SP 800-122, HIPAA y CCPA son más estrechos o específicos de sector. El alcance extraterritorial del GDPR lo convierte en el estándar global de facto para la mayoría de las empresas multinacionales.

¿Cómo deben las organizaciones proteger la PII en entornos cloud?

Las organizaciones deben proteger la PII en entornos cloud manteniendo un inventario completo de datos para saber dónde reside la PII, aplicando cifrado a nivel de campo para PII sensible, implementando controles de acceso de mínimos privilegios, escaneando secretos y configuraciones incorrectas con herramientas CSPM y SAST, y codificando las reglas de manejo de datos como policy-as-code aplicado en pipelines CI/CD.

Evita que la PII se filtre sin que te des cuenta

Automatiza el descubrimiento de PII, aplica políticas de manejo de datos como código y mantén el cumplimiento continuo en tu entorno cloud desde una única plataforma.

Explorar soluciones de cumplimiento