La Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) de Rumanía está supervisando una transformación de cumplimiento en uno de los sectores de tecnología y subcontratación de más rápido crecimiento de la UE. Bucarest, Cluj-Napoca e Iași procesan datos de ciudadanos de la UE de Alemania, Francia, el Reino Unido y los Países Bajos a gran escala, y la aplicación de ANSPDCP está aumentando drásticamente.
ANSPDCP emitió 1.8 millones de euros en multas por GDPR entre 2022 y 2024, siendo el sector BPO/subcontratación el que representa la mayor concentración de casos de aplicación.
El perfil de exposición al GDPR del BPO rumano
Procesamiento de datos personales de alto volumen: Los centros de llamadas que procesan disputas de facturación manejan nombres, direcciones, números de cuenta, historial de pagos y datos de uso del servicio. Los servicios de soporte técnico acceden a configuraciones de sistemas de clientes que contienen datos personales.
Datos de ciudadanos de la UE en manos rumanas: Los sujetos de datos son principalmente ciudadanos alemanes, franceses, holandeses o británicos. Cuando las cosas salen mal, los sujetos de datos afectados escalan a su DPA de origen, creando una exposición a la aplicación transfronteriza de BfDI, CNIL, ICO o AP NL, además de la jurisdicción de ANSPDCP.
Complejidad de la cadena de subprocesadores: ANSPDCP encontró que el 45% de las empresas rumanas carecen de Acuerdos de Procesamiento de Datos adecuados con sus subprocesadores. Los APD deben especificar las medidas técnicas que implementará el subprocesador.
Fallos en la revocación de acceso: Los sectores BPO tienen una alta rotación de empleados. ANSPDCP encuentra repetidamente que los exempleados retienen credenciales activas semanas después de su salida, lo que constituye una violación recurrente en los casos de aplicación en Rumanía.
El CNP: El identificador PII principal de Rumanía
El Cod Numeric Personal (CNP) es un número de identificación nacional de 13 dígitos que codifica:
- Dígito 1: Género y siglo (1=masculino 1900-1999, 2=femenino 1900-1999, 5=masculino 2000+, 6=femenino 2000+, 7=masculino residente extranjero, 8=femenino residente extranjero)
- Dígitos 2-7: Fecha de nacimiento (YYMMDD)
- Dígitos 8-9: Código del condado de nacimiento
- Dígitos 10-12: Número secuencial
- Dígito 13: Dígito de control (módulo ponderado 11)
El CNP codifica género, fecha de nacimiento, región de nacimiento y estado de ciudadanía, lo que lo hace mucho más rico en información personal que la mayoría de los identificadores de Europa Occidental. ANSPDCP ha clasificado el CNP como que requiere una protección elevada que se aproxima al estatus de categoría especial.
El problema de detección: La revisión de aplicación de ANSPDCP de 2024 encontró que el 78% de las herramientas PII desplegadas en la subcontratación rumana no logran detectar el CNP con la validación adecuada de suma de verificación. Las consecuencias:
- Los números de CNP en registros de clientes, archivos de empleados y copias escaneadas de identificación pasan desapercibidos
- Los datos compartidos con empresas matrices de Europa Occidental para análisis o entrenamiento de IA contienen ciudadanos rumanos identificables
- El análisis posterior a la violación revela la exposición del CNP en datos certificados como "anónimos"
Prioridades de aplicación de ANSPDCP 2024-2025
Grabación de audio en centros de llamadas: ANSPDCP ha apuntado a las prácticas de grabación que carecen de cronogramas de retención adecuados o controles de acceso. Las grabaciones retenidas "indefinidamente para cumplimiento" sin un propósito documentado y cronogramas de eliminación violan el GDPR.
Subcontratación de datos de salud: Las empresas rumanas que procesan registros médicos, reclamaciones de seguros o datos de recetas para clientes de Europa Occidental enfrentan la mayor exposición a multas. Los datos de salud (categoría especial del Artículo 9) requieren una base legal explícita, DPIA y medidas técnicas elevadas.
Control de acceso y registro: Las auditorías de ANSPDCP identifican consistentemente registros inadecuados; las organizaciones no pueden demostrar qué datos fueron accedidos, por quién y cuándo. Para las empresas BPO rumanas que manejan datos de clientes de la UE, los registros de acceso deben ser lo suficientemente completos como para determinar el alcance de la violación en caso de incidente.
Idioma rumano: La capa faltante
Más allá del CNP, los documentos rumanos contienen identificadores que las herramientas genéricas pasan por alto:
Cartea de identitate (CI): Tarjeta de identificación nacional rumana con formato de número único. Las copias escaneadas en archivos de incorporación de clientes requieren detección.
NER en rumano: La correspondencia con clientes, tickets de soporte y documentos internos en rumano requieren procesamiento de lenguaje natural en rumano. Las herramientas que dependen de NLP en inglés aplicadas al texto rumano tienen un rendimiento significativamente inferior.
Formatos de dirección: Las convenciones de dirección rumanas ("Strada," "Bulevardul," "Numărul") difieren de los formatos de Europa Occidental y a menudo son mal manejadas por modelos de NLP entrenados en inglés o alemán.
Para las organizaciones de subcontratación rumanas: la detección del CNP con validación de suma de verificación, la detección de la identificación nacional rumana y pasaporte, el NER en rumano y la gestión documentada de subprocesadores son las cuatro capacidades que satisfacen el estándar de adecuación técnica de ANSPDCP.
Fuentes: