PII è tutto ciò che direttamente o indirettamente può essere associato a una persona basata su Regolamento 2016/679 del Parlamento Europeo .
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
Dalla sezione delle definizioni del regolamento sopracitato
Poiché è possibile correlare un numero di telefono con una persona (titolare del contratto) e tale numero potrebbe essere univoco per quella persona, dovresti considerarlo come informazione PII.
Lo dico come precauzione, in quanto non si sa mai se si tratta di un numero di telefono pubblico, di un telefono condiviso o di qualsiasi altro caso d'uso.
In molti casi, anche se il numero condiviso è ancora possibile correlarlo a una persona.
L'unico che non è possibile sono i telefoni pubblici.
Poiché non lo sappiamo, non possiamo correre il rischio di una sicurezza rilassata in tutti gli altri numeri di telefono che potrebbero essere associati in modo univoco a una persona specifica.
L'indirizzo IP può essere anche PII, perché non sappiamo se è un proxy o un router in qualche casa dovremmo trattarli come uguali.
Una spiegazione più semplice può essere trovata nel seguente link del Parlamento Europeo con esempi.
link
Personal data is any information that relates to an identified or identifiable living individual. Different pieces of information, which collected together can lead to the identification of a particular person, also constitute personal data.Personal data that has been de-identified, encrypted or pseudonymised but can be used to re-identify a person remains personal data and falls within the scope of the law. Personal data that has been rendered anonymous in such a way that the individual is not or no longer identifiable is no longer considered personal data. For data to be truly anonymised, the anonymisation must be irreversible.The law protects personal data regardless of the technology used for processing that data – it’s technology neutral and applies to both automated and manual processing, provided the data is organised in accordance with pre-defined criteria (for example alphabetical order). It also doesn’t matter how the data is stored – in an IT system, through video surveillance, or on paper; in all cases, personal data is subject to the protection requirements set out in the GDPR.