¿Se considera el género PII (Información de identificación personal) bajo el GDPR?

19

Dado que GDPR está cambiando todo en el momento en que estoy trabajando en algunos cambios en nuestro sitio web / proceso.

Trabajo en eCommerce en UX (basado en el Reino Unido) y apoyo a equipos de marketing con ciertas actividades.

Mi pregunta es, ¿el género de un individuo cuenta como PII?

Almacenamos el género en una capa de datos como una variable de JavaScript que se mantiene dentro de nuestro propio negocio, y luego podemos elegir pasar estas variables a una plataforma de prueba para dirigirnos a individuos en función de la presencia de estas variables. Como no soy una persona jurídica / de tipo de datos, no estoy 100% seguro de si al almacenar y tener los medios para pasar el sexo de una persona (extraída de la información que obtenemos cuando creamos una cuenta con nosotros) a un tercero, ¿Estamos incumpliendo algún tipo de acuerdo de seguridad de la información?

Si esto se debe a la política de la compañía, etc., entonces hágamelo saber y cerraré la pregunta, ya que no está aquí.

    
pregunta sclarke 17.05.2018 - 13:22
fuente

2 respuestas

22

La definición de datos personales como se menciona en el GDPR:

  

"datos personales" significa cualquier información relacionada con una persona física identificada o identificable ("sujeto de datos"); una persona física identificable es una persona que puede ser identificada, directamente o indirectamente , en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores Específico a la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural;

A medida que afirma que utiliza la presencia de la variable para dirigirse a individuos, el género definitivamente tiene una referencia indirecta a la identidad de alguien y, como tal, es información personal. Sin embargo, eso no significa que tenga que dejar de procesar el género en el contexto que describió.

Desde una perspectiva de riesgo (que es de lo que trata el GDPR), no veo un problema si solo comparte el género, que en realidad es pseudónimo, ya que no proporciona ningún otro dato de identificación directa junto con él. .

Sin embargo, tienes otras obligaciones w.r.t. el principio de transparencia, incorporando la actividad de procesamiento en su registro de procesamiento, determinando la base legal para el procesamiento (y actuando en consecuencia), determinando la relación procesador-controlador con su tercero e incluyendo las cláusulas necesarias en el contrato, etc. Para determinar todo esto, se requiere mucha más información de la que ha proporcionado en su pregunta y le recomiendo que busque asesoramiento profesional (legal) para que lo apoye en este asunto.

    
respondido por el Stef Heylen 17.05.2018 - 14:18
fuente
8

TLDR: Posible

De enlace :

  

Los siguientes son ejemplos de " información potencialmente identificable personalmente ". Es decir, los elementos de datos por sí mismos no pueden vincularse a una persona específica, pero cuando se combinan con otra información (como los elementos 1 a 11, arriba), pueden estarlo.

     
  1. Un identificador persistente, como un valor genérico de cliente / usuario contenido en una "cookie"
  2.   
  3. dirección IP (Protocolo de Internet) o nombre de host
  4.   
  5. Fecha de nacimiento, edad
  6.   
  7. Antecedentes raciales o étnicos
  8.   
  9. afiliación religiosa
  10.   
  11. género
  12.   
  13. Altura, peso
  14.   
  15. estado civil
  16.   
  17. Información de empleo
  18.   
  19. información médica
  20.   
  21. Información financiera
  22.   
  23. información de crédito
  24.   
  25. Información del estudiante
  26.   

Dependiendo de la configuración del navegador del visitante del sitio, las cookies (elemento 12), que son pequeños archivos de texto, se almacenan en el disco local del visitante y se transmiten entre su navegador y los servidores que alojan los sitios visitados.

     

El punto aquí es, como información independiente, estos elementos de datos no son PII. Tienen el potencial para ser PII. Se convierten en PII cuando se combinan con otros datos más específicos que, en total, identifican a una persona específica.

     

Por ejemplo, un informe de crédito completo sin un enlace a una persona específica no es PII. Es simplemente información de crédito anónima. Sin embargo, aunque un informe de crédito no tenga el nombre y apellido de una persona, si incluye información suficiente para identificar a una persona en particular (es decir, fecha de nacimiento + género + origen étnico + código postal + dirección IP), se ajusta a la definición de PII.

    
respondido por el toom 17.05.2018 - 13:35
fuente

Lea otras preguntas en las etiquetas