LGPD Brasil: CPF, CNPJ i Proteccio de Dades
La Lei Geral de Protecao de Dados (LGPD) del Brasil cobreix 215 milions de persones. Es la tercera llei de proteccio de dades mes gran del mon per poblacio. Cobreix mes persones que Alemanya, Franca i el Regne Unit junts. L'Autoridade Nacional de Protecao de Dados (ANPD) va emetre les seves primeres multes importants el 2024. El periode de gracia despres de l'entrada en vigor de la LGPD el 2020 ha acabat.
Tambe hi ha un repte tecnic. Els documents LGPD son en portugues brasiler. Els documents d'identitat nacionals al Brasil difereixen dels de Portugal. Tambe difereixen dels de qualsevol altre pais.
Per que la PII brasilera es diferent
Els sistemes d'identitat federal i estatal del Brasil es van desenvolupar de manera independent dels sistemes d'identitat digital europeus. Aixo va crear un conjunt unic d'identificadors. La majoria d'eines NLP estan entrenades en dades en angles o europees. No detecten els documents d'identitat locals.
CPF (Cadastro de Pessoas Fisicas): El numero de contribuent de 11 digits. Format: XXX.XXX.XXX-XX. Te dos digits de control. La formula utilitza dos passos matematics separats. Tots dos han de coincidir perque el CPF sigui valid.
La bretxa de deteccio es gran. Les eines NLP entrenades en angles detecten el CPF amb nomes un 45% de precisio (ANPD, 2024). Dues raons ho expliquen. Primera, les eines que fan coincidir numeros d'11 digits sense la logica de digit de control en dos passos confonen numeros CPF valids amb sequencies aleatories. Segona, el CPF de vegades no te el format XXX.XXX.XXX-XX. Aixo passa en sortides d'OCR i formularis en text pla.
CNPJ (Cadastro Nacional da Pessoa Juridica): El numero d'empresa de 14 digits. Format: XX.XXX.XXX/XXXX-XX. Tambe te dos digits de control. La formula s'assembla al CPF pero no es la mateixa.
RG (Registro Geral): El document d'identitat civil estatal. El format varia per estat. Sao Paulo utilitza 2 lletres i entre 5 i 9 digits. Rio de Janeiro utilitza entre 7 i 8 digits amb un guio. Minas Gerais utilitza entre 7 i 9 digits. Altres estats tenen els seus propis formats. Una eina que coneix nomes el RG d'un estat perdera la majoria dels numeros RG.
CNH (Carteira Nacional de Habilitacao): El numero del permis de conduccio de 11 digits. Te un digit de control. El format inclou un codi de districte.
Titulo de Eleitor: El numero d'identificacio d'elector de 12 digits. Te tres parts: un codi d'identificacio de 8 digits, un codi d'estat de 2 digits i 2 digits de control.
Numero SUS (Cartao SUS): El numero d'identitat de salut publica de 15 digits. Tothom al pais en te un. Apareix en tots els registres hospitalaris i de cliniques.
PIS/PASEP: El numero de programa social de 11 digits. Apareix en tots els registres d'ocupacio.
L'estandard d'anonimitzacio de la LGPD
L'article 12 de la LGPD defineix les dades anonimes. L'estandard: dades que "no es poden identificar, considerant els mitjans tecnics raonables en el moment del processament". Es un estandard relatiu a la tecnologia. Les dades anonimes d'avui poden no continuar sent-ho a mesura que millorin els metodes de reidentificacio.
L'ANPD afegeix mes orientacio. Eliminar identificadors directes com el CPF i el nom no es suficient. Grups de quasi-identificadors encara poden permetre la reidentificacio. El rang d'edat, la ciutat, el sexe i la feina junts poden identificar una persona. Aquests s'han de tractar mitjancant agrupament o addicio de soroll.
Per a les dades d'entrenament d'IA, l'ANPD exigeix una de tres condicions. Primera: les dades compleixen l'estandard de l'article 12. Segona: cada interessat ha donat consentiment explicit per a l'us especific en l'entrenament. Tercera: hi ha un proposit documentat valid.
Requisits de la llengua portuguesa
El portugues brasiler difereix del portugues europeu. Les paraules, l'ortografia i els formularis de documents no son els mateixos. Els models NLP entrenats en text de Portugal assoleixen aproximadament el 71% de la precisio dels models entrenats en text local. Aixo prové de l'avaluacio tecnica de l'ANPD.
Diferencies clau per a la deteccio de PII:
- Noms: L'us de doble cognom i l'ordre dels noms difereixen de Portugal.
- Adreces: Els codis CEP utilitzen el format XXXXX-XXX. Aquest format es unic al pais. Necessita la seva propia logica de deteccio.
- Termes de document: "Carteira de Identidade" aqui vs. "Bilhete de Identidade" a Portugal. Els noms dels organismes tambe difereixen.
Que necessita el compliment de l'ANPD
Quatre necessitats tecniques cobreixen el compliment de l'ANPD. La deteccio del CPF i del CNPJ ha d'incloure la validacio del digit de control en dos passos. La deteccio del RG ha de cobrir tots els estats. Tambe cal la deteccio del numero SUS i del Titulo de Eleitor. Els models NLP han d'estar entrenats en portugues local.
Vegeu la nostra guia de deteccio global d'identificadors de PII i les accions d'aplicacio de la LGPD el 2024.