Depende. ¿Podría este número vinculado a una sola persona? (Por ejemplo, es su número de celular y si sé que este número está en una base de datos y sé que es suyo, entonces sé que está en esa base de datos)

Entonces sí.

Si esto no es posible (por ejemplo, es la llamada central en número de una gran corporación que está conectada a cualquier agente disponible), entonces no.

Si solo tiene números de teléfono sin más información sobre ellos, debe asumir que es PII, porque no sabe si un número pertenece a una persona o no.

No uso WA, así que no sé específicamente a qué práctica se refiere la pregunta, pero supongamos que la pregunta se refiere a una práctica en la que una aplicación en el teléfono de un usuario obtiene acceso a los contactos y al historial de texto en el teléfono. y carga todos los números de teléfono al servidor sin cargar también los nombres asociados con esos números (a pesar de tener acceso a ellos).

¿Estos números desnudos subidos, sin nombres, se consideran PII?

Sí, absolutamente.

El servidor no está recopilando secuencias numéricas al azar, usándolas para rellenar un modelo de algún tipo y luego las descarta.

Está construyendo una estructura de datos duradera que tiene entidades que, en última instancia, están destinadas a mapear a los humanos, y almacena esos números como metadatos con esas entidades. (Prueba clave: cuando un contacto en el teléfono tiene 2 números, ¿esos 2 números están asociados de alguna manera con la misma entidad duradera del lado del servidor?)

El hecho de que en un punto particular ampliado en la arquitectura general en un momento determinado no haya un nombre almacenado directamente con el número en una fila de db relacional es irrelevante.

En la arquitectura de imagen general, que incluye tanto las aplicaciones cliente como el servidor, y los flujos de datos actualmente disponibles, así como los flujos de datos que podrían implementarse de manera razonablemente sencilla sin la acción del usuario, por ejemplo, una actualización de la aplicación que recopilaba nombres Además, podría implementarse de manera trivial sin el conocimiento del usuario o sin un permiso adicional. En general, este es un gráfico arquitectónico que tiene PII.

La PII es una preocupación a nivel de bosque, no una preocupación a nivel de árbol.

PII es cualquier cosa que, directa o indirectamente, pueda asociarse a una persona basándose en Reglamento 2016/679 del Parlamento Europeo .

  

"datos personales" significa cualquier información relacionada con una persona física identificada o identificable ("sujeto de datos"); una persona física identificable es una persona que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de lo físico, fisiológico, identidad genética, mental, económica, cultural o social de esa persona natural;

De la sección de definiciones del reglamento mencionado

Debido a que puede correlacionar un número de teléfono con una persona (propietario del contrato) y ese número podría ser exclusivo de esa persona, debe considerarlo como información de PII.

Lo digo como precaución ya que nunca se sabe si es un número de teléfono público, un teléfono compartido o cualquier otro caso de uso.

En muchos casos, incluso si el número compartido es posible correlacionarlo con una persona.

El único que no es posible es los teléfonos públicos.

Debido a que no sabemos esto, no podemos correr el riesgo de una seguridad relajada en todos los demás números de teléfono que podrían estar asociados de manera única a una persona específica.

La dirección IP también puede ser PII, porque no sabemos si hay un proxy o un enrutador en algún hogar, debemos tratarlos como iguales.

Puede encontrar una explicación más simplista en el siguiente enlace del Parlamento Europeo con ejemplos.

enlace

  

Datos personales es cualquier información que se relaciona con una persona viva identificada o identificable. Los diferentes datos que se recopilan pueden llevar a la identificación de una persona en particular, también constituyen datos personales. Los datos personales que han sido desidentificados, encriptados o seudonimizados, pero que se pueden usar para volver a identificar a una persona, son datos personales y caen. Dentro del ámbito de aplicación de la ley. Los datos personales que se han convertido en anónimos de tal manera que la persona no es identificable o ya no son identificables ya no se consideran datos personales. Para que los datos sean realmente anónimos, la anonimización debe ser irreversible. La ley protege los datos personales independientemente de la tecnología utilizada para el procesamiento de esos datos: es neutral desde el punto de vista tecnológico y se aplica tanto al procesamiento automatizado como al manual, siempre que los datos se organicen de acuerdo con los requisitos previos. Criterios definidos (por ejemplo, orden alfabético). Tampoco importa cómo se almacenan los datos: en un sistema de TI, a través de videovigilancia o en papel; en todos los casos, los datos personales están sujetos a los requisitos de protección establecidos en el GDPR.

Sí

Claramente y fundamentalmente, sin duda alguna; y con implicaciones especialmente fuertes cuando se utiliza en un contexto de redes sociales como WhatsApp.

El problema no es si WhatsApp vincula este número de teléfono con algún nombre al enviarlo a su servidor. El problema es que la información en sí (el número de teléfono) está vinculada a usted, una persona. La PII no se trata tanto de uso, sino más bien del contenido de información estática de algunos datos.

Claro, hay grados en esto. Por ejemplo, las fechas de nacimiento. Si tomo una muestra de una fecha de nacimiento aleatoria (sin ninguna información adjunta) de una persona que conozco en la calle más transitada de una ciudad de 10 millones de habitantes, entonces esta fecha de nacimiento probablemente no me ayude a identificar a la persona más adelante. Pero si hago lo mismo en un aula pequeña, es muy probable que pueda hacerlo. (A pesar de la paradoja del cumpleaños.)

En el caso del número de teléfono o un número de identificación social, etc., el caso es muy claro: puedo identificar de inmediato a la persona soltera en el mundo relacionada con ese número (tal vez de una guía telefónica, tal vez solo llamando y obtener su nombre si no tienen cuidado).

Los escenarios potencialmente siniestros para usar tales números telefónicos simples son muchos; p.ej. perfilado (haciendo coincidir con otros registros que contienen el número); descubrir grupos de personas (al tomar un conjunto de números que de alguna manera están agrupados dentro de la aplicación); etc.

Sí

Una comparación básica que he estado utilizando es con el nombre de un cliente, ¿una información me permite elegir a una persona mejor o peor que un nombre? Es posible que tenga cientos de 'John Smith', pero solo tendrá una persona por número de teléfono (o, como máximo, una familia) y, por lo tanto, hace que sea un dato de información más identificable que el nombre de la persona .

La mayoría de los números de teléfono están vinculados a personas únicas (por ejemplo, su teléfono móvil, escritorio o casa), lo que hace que un número de teléfono sea un número de identificación único que apunta a una sola persona.

También podría argumentar que, obviamente, algunos números de teléfono no están acoplados a una persona, pero dado que el porcentaje de números que superan en gran medida a los números que no lo hacen. (Desde las líneas telefónicas fijas de 2005 están en declive y el uso de teléfonos móviles está en aumento, con actualmente 67% de la población mundial que tiene un número de teléfono móvil .)

Los números de teléfono se pueden usar claramente para volver a identificar a una persona en una etapa posterior del procesamiento de datos. Si lo enriquece con otros datos suficientes (por ejemplo, suscripciones, visitas a sitios web, ubicaciones geográficas) podría incluso identificar a la persona física. Algunas compañías vinculan los números de teléfono a los identificadores de cookies de publicidad en línea que conducen a perfiles muy ricos. Se sabe que los servicios en línea (por ejemplo, el servicio de compra de entradas de películas) también venden estos datos.

Por lo tanto, creo que en la mayoría de los casos, un número de teléfono debe considerarse información personal. Por lo tanto, siempre el manejo de números telefónicos como información personal parece ser lo más inteligente, a menos que usted están 100% seguros de que solo está procesando números de teléfono de organizaciones públicas, por ejemplo.