La PII incluye cualquier pieza de información que pueda identificar a un usuario específico. Los ejemplos más evidentes incluyen nombres y datos de contacto, o el apellido de soltera de su madre. Pero aquellos en los que la gente quizá no piense fácilmente son los registros médicos, las direcciones IP y los extractos bancarios.
Utilizada junto con la norma ISO/IEC 27001, la norma ISO/IEC 27018 se publicó para permitir que los proveedores de servicios en la nube, cuya infraestructura está certificada según la norma, digan a sus clientes existentes y potenciales que sus datos están protegidos y que no se utilizarán para ningún fin para el cual no dieron específicamente el consentimiento.