PII & Datu Pribatutasunaren Glosarioa
Industria osoan erabilitako pribatutasun, betetze eta datu babesteko terminoen definizio argiak.
Pribatutasun & Betetze Terminoak
Pertsonalki Identifikagarria den Informazioa (PII)
Pertsona zehatz bat identifikatzeko gai den edozein datu, hala nola izenak, posta elektroniko helbideak, gizarte segurantza zenbakiak edo telefono zenbakiak.
Anonimizazioa
Datuak aldatzeko prozesu iraunkorra, pertsonak zuzenean edo zeharka identifikatu ezin izateko.
Pseudonimizazioa
Identifikagarria den datua identifikatzaile artifizialekin (pseudonimoak) ordezkatzea, berrezidentzia egiteko behar den giltza bereizi bat eskatuz.
De-identifikazioa
Datuetatik identifikatzaile pertsonalak kentzea edo ezkutatzea, informazio gehigarririk gabe pertsona zehatz batekin lotu ezin izateko.
Datu Subjektua
Datu pertsonalak kontrolatzaile edo prozesatzaile batek prozesatzen dituen identifikatua edo identifikagarria den pertsona natural bat.
Datu Kontrolatzailea
Datu pertsonalak prozesatzeko helburuak eta bideak zehazten dituen entitatea.
Datu Prozesatzailea
Datu kontrolatzaile baten izenean datu pertsonalak prozesatzen dituen entitatea, kontrolatzailearen argibideei jarraituz.
Adostasuna
Datu subjektu baten datu pertsonalak prozesatzeko adostasunaren adierazpen libre, zehatza, informatua eta argia.
Oinarri Legal
Datu pertsonalak prozesatzeko baimendutako oinarri legal bat, hala nola adostasuna, kontratu beharra, betebehar legal edo interes legitimoa.
Datu Murrizketa
Biltzen diren datu pertsonalak beharrezkoak diren helbururako egokiak, garrantzitsuak eta mugatuak izan behar direla adierazten duen printzipioa.
Ezabatze Eskubidea
Datu subjektu baten eskubidea bere datu pertsonalak ezabatzeko beharrezkoak ez direnean, GDPR-ren arabera 'ahaztuta izateko eskubidea' bezala ezagutzen dena.
Datu Portabilitatea
Datu subjektuek beren datu pertsonalak egituratuta, ohiko formatu batean jasotzeko eta beste kontrolatzaile batera transferitzeko eskubidea.
Datu Babesletzailea (DPO)
Erakunde baten datu babes estrategia gainbegiratzeko eta pribatutasun araudiei jarraipena egiteko arduradun izendatua.
Datu Babesaren Eragin Ebaluazioa (DPIA)
Proiektu baten datu babes arriskuak identifikatzeko eta murrizteko prozesua, GDPR-ren arabera arrisku handiko prozesatze jardueretarako beharrezkoa.
Datu Irregularra
Segurtasun incidentzia bat, non datu pertsonalak baimenik gabe sarbidea, argitaratzea, aldatzea edo suntsitzea gertatzen den.
Itzala AI
Langileek AI tresnak (ChatGPT, Copilot, Gemini) baimenik gabe erabiltzea IT baimenik gabe. Itzal AI da PII datu-isurien kausa nagusia, erabiltzaileek negozio-datu sentikorrak (bezeroen erregistroak, pazientearen informazioa, finantza-datuak) zuzenean AIren abisuetan itsatsi baitituzte.
Datuen minimizazioa
GDPR printzipio bat (5. art. 1.(1)(c)) erakundeek helburu zehatz baterako beharrezkoak diren gutxieneko datu pertsonalak soilik biltzea eta tratatzea eskatzen duena. AI sistemetan, datuak minimizatzeak PII anonimoa egitea edo kentzea esan nahi du datuak AI kanalizazioetan sartu aurretik, betetze-arriskua eta urratze-azalera murriztuz.
Araudi Esparruak
GDPR (Datu Pertsonalen Babeserako Araudia)
Europako Ekonomia Eremuan pertsonen datu pertsonalak prozesatzea arautzen duen EBko araudia, 2018ko maiatzetik indarrean.
CCPA (Kaliforniako Kontsumitzaileen Pribatutasun Legea)
Enpresek biltzen dituzten kontsumitzaileen informazio pertsonalaren gaineko eskubideak ematen dituen Kaliforniako estatuko legea, 2020ko urtarriletik indarrean.
HIPAA (Osasun Segurantzaren Transferentzia eta Kontabilitate Legea)
Baimenik gabe argitaratzea saihesteko pazienteen osasun informazio sentikorra babesteko estandarrak ezartzen dituen AEBetako federal legea.
ISO 27001
Informazio segurtasunaren kudeaketa sistemetarako (ISMS) nazioarteko estandarra, segurtasun kontrolak ezartzeko, ezartzeko eta etengabe hobetzeko baldintzak zehaztuz.
SOC 2 (Sistema eta Erakundeen Kontrolak 2)
Segurtasunari, eskuragarritasunari, prozesatzeko integritateari, konfidentzialtasunari eta pribatutasunari lotutako kontrolak ebaluatzen dituen zerbitzu erakundeentzat auditatzeko esparrua.
PROT010BUKAERA
Europar Batasuneko adimen artifizialari buruzko araudia (2026ko abuztuan indarrean jarria). Arrisku handiko AI sistemek datuen gobernantza neurriak ezarri behar dituzte datu pertsonalen minimizazioa, dokumentazioa eta DPIA barne. Pertsonei buruzko erabakiak hartzeko IA erabiltzen duten erakundeek prestakuntza-datuak anonimizatuta edo pseudonimizatuta daudela ziurtatu behar dute.
PROT008BUKAERA
AI Management Systems (AIMS) nazioarteko estandarra, 2023an argitaratua. AI garapen eta hedapen arduratsurako esparru bat eskaintzen du, datuen kalitatea, alborapen-kontrolak eta pribatutasun-bermeak barne. Askotan ISO 27001-ekin parekatuta datu pertsonalekin AI sistemak erabiltzen dituzten erakundeentzat.
India DPDP Act
Indiako Datu Pertsonalak Babesteko Legea (2023), 2025etik aurrera indarrean jarria. Baimen esplizitua eskatzen du Indiako egoiliarren datu pertsonalak prozesatzeko, datu sentikorretarako datuak lokalizatu eta 72 orduko epean urratzeen jakinarazpena. Indiako herritarren datuak prozesatzen dituzten erakundeei aplikatzen zaie.
Termino Teknikoak
Izendatutako Entitateen Aitortza (NER)
Testuan izendatutako entitateak identifikatzeko eta sailkatzeko NLP teknika, pertsona izenak, kokapenak eta erakundeak bezalako kategoriak definituz.
Hizkuntza Naturalaren Prozesamendua (NLP)
Adimen artifizialaren adar bat, ordenagailuek gizakiaren hizkuntza ulertu, interpretatu eta sortzeko aukera ematen duena.
Patroi Aitortzailea
Datu patroi zehatzak identifikatzeko erregelak eta testuinguru pista erabiltzen dituen detektore arau-oinarritua, hala nola kreditu txartelen zenbakiak edo gizarte segurantza zenbakiak.
Konfiantza Puntua
0 eta 1 bitarteko balio numerikoa, detekzio motor batek testu zati batek entitate mota zehatz batekin bat datorrela zenbat ziur den adierazten duena.
Erregelako Adierazpena (Regex)
Bilaketa patroi bat definitzen duen karaktere sekuentzia, telefono zenbakiak edo posta elektroniko helbideak bezalako datu formatu egituratuak balidatzeko eta detektatzeko ohiko erabilia.
AES-256-GCM
256 bitako giltza batekin Galois/Counter Modua erabiliz autentifikatutako enkriptatze algoritmoa, datu enkriptatuen konfidentzialtasuna eta integritate egiaztapena ematen dituena.
Zero-Ezagutza Enkriptatzea
Enkriptatze arkitektura bat, non erabiltzaileak soilik dekriptatze giltza duena, hau da, zerbitzu hornitzaileak ezin du datu plain-text-a sarbidea izan.
Tokenizazioa
Datu sentikorren ordez, jatorrizko datuarekin segurtasunez lotu daitezkeen ez-sentikorren tokiko tokenak erabiltzea.
Datu Maskaketa
Datu multzo batean datu zehatzak ezkutatzea, informazio sentikorra ezkutatuz, datuak probatzeko edo aztertzeko erabilgarri mantenduz.
Redakzioa
Dokumentu edo datu multzo batetik informazio sentikorra behin betiko kentzea, [REDACTED] bezalako markatzaile batekin ordezkatuz.
Datu sintetikoak
AI-k sortutako datuak estatistikoki benetako datuak imitatzen dituztenak benetako erregistrorik eduki gabe. Anonimizazioarekin alderatuta: datu anonimizatuek zehaztasun analitiko handiagoa gordetzen dute beheranzko MLrako; datu sintetikoek berriro identifikatzeko arriskua ezabatzen dute, baina desbideratze estatistikoa sartzen dute. Anonimizazioa itzulgarria hobesten da betetze-ikuskapenetarako jatorrizko erregistroak behar direnean.
LLM Prompt Injekzioa
Eraso-teknika non sarrera gaiztoak hizkuntza-eredu handi bat manipulatzen duen argibideak alde batera uzteko edo informazio sentikorra isurtzeko. PII babesteko testuinguruetan, berehalako injekzio batek AI eredu batek datu-eredu anonimoak edo erabiltzailearen informazioa agerian uztea eragin dezake. Sarrerak LLMetara iritsi aurretik anonimizatzeak eraso-azalera murrizten du.
Pribatutasuna diseinuz
A PROT005BUKA Art. 25 printzipioa, datuen babesa sistemetan oinarritik txertatzea eskatzen duena, ondoren pentsatu baino gehiago. AI sistemetarako, pribatutasun-diseinuak esan nahi du datuak anonimatu AI kanalizazioan sartu aurretik, zero ezagutza enkriptatzea inplementatzea eta datuen atxikipena minimizatzea.
Anonimizazio Metodoak
Ordezkatzea
Identifikatutako PII bat entitate mota bereko tokiko ordainekin ordezkatzea, adibidez, 'John Smith' '<PERTSONA>'-rekin ordezkatuz.
Maskatzea
PII partzialki ezkutatzea karaktereak maskatze sinboloekin ordezkatuz, adibidez, '123-45-6789' '***-**-6789' bihurtuz.
Redaktatzea
Identifikatutako PII guztiz kentzea testutik, jatorrizko balioaren arrastorik utzi gabe.
Hashatzea
PII finkako luzerako kriptografia hash batean bihurtzea, ordezkatze koherentea ahalbidetuz, atzera egitea konputazionalki ezinezkoa izanik.
Enkriptatzea
PII AES-256-GCM enkriptatzearekin erabiltzaileak duen giltza batekin transformatzeko, behar denean baimendutako atzera egitea (de-anonimizazioa) ahalbidetuz.
Maiz Egiten diren Galderak
Zer da anonimizazioaren eta pseudonimizazioaren arteko aldea?
Anonimizazioak identifikatzeko informazio guztia iraunkorki kentzen du, berrezidentzia ezinezkoa izanik. Pseudonimizazioak identifikatzaileak artifizialekin ordezkatzen ditu, berrezidentzia ahalbidetzen duen giltza bereizi bat mantenduz. GDPR-ren arabera, pseudonimizatutako datuak oraindik datu pertsonal gisa hartzen dira.
Zergatik erabiltzen da PII detekzioak NLP eta patroien aitortzaileak?
NLP modeloek testuinguruaren araberako entitateak detektatzen dituzte, hala nola pertsona izenak eta kokapenak, formatu finkorik gabe. Patroi aitortzaileek erregelako adierazpenak erabiltzen dituzte identifikatzaile egituratuak, hala nola gizarte segurantza zenbakiak, kreditu txartelen zenbakiak eta telefono zenbakiak harrapatzeko. Bi hurbilpenak konbinatzeak entitate mota guztietan detekzio zehaztasuna maximizatzen du.
Zer da zero-ezagutza enkriptatzea eta zergatik da garrantzitsua?
Zero-ezagutza enkriptatzeak esan nahi du soilik zuk duzula dekriptatze giltza — zerbitzu hornitzaileak ezin du zure datuak irakurri. Honek garrantzia du, zerbitzuaren iruzurra gertatuz gero, zure enkriptatutako datuak irakurgaitza izaten jarraitzen du, zure giltzarik gabe, datuen babesa ahalbidetuz.
Nola desberdintzen da atzeraezina den enkriptatzea hashatzeetatik?
Hashatzea bide bakarreko transformazioa da — datua hashatu ondoren, jatorrizkoa berreskuratu ezin da. Atzeraezina den enkriptatzeak (AES-256-GCM erabiliz) baimendutako erabiltzaileei jatorrizko datuak dekriptatu eta berreskuratzeko aukera ematen die, de-anonimizazioa behar den lan-fluxuak ahalbidetuz.