El Problema de las Tres Regulaciones
Un mercado global con sede en el Reino Unido que procesa documentos de verificación de vendedores de 80 países enfrenta tres marcos regulatorios simultáneos: GDPR para vendedores con sede en la UE, LGPD (Lei Geral de Proteção de Dados) para vendedores brasileños y la Ley de Protección de Datos Personales Digitales de India (DPDP) para vendedores indios. Cada marco designa diferentes identificadores nacionales como datos personales protegidos que requieren un manejo específico.
CPF brasileño (Cadastro de Pessoas Fisicas): El número de identificación del contribuyente individual de 11 dígitos con formato XXX.XXX.XXX-XX. Los últimos dos dígitos son dígitos de verificación derivados de un algoritmo específico de aritmética modular. La LGPD brasileña trata el CPF como un identificador único para personas naturales — equivalente al SSN en términos de sensibilidad. Una herramienta que no conoce el formato del CPF y el algoritmo de verificación no puede detectarlo.
Aadhaar indio: El número de identidad biométrica de 12 dígitos emitido por la Autoridad de Identificación Única de India. A diferencia del CPF y el SSN, los números de Aadhaar se asignan aleatoriamente con un dígito de verificación del algoritmo de Verhoeff. La Ley DPDP de India impone obligaciones a las organizaciones que procesan datos vinculados a Aadhaar. La detección requiere reconocimiento de formato (12 dígitos consecutivos con verificación de Verhoeff) y supresión consciente del contexto (no cada número de 12 dígitos es un Aadhaar).
SSN de EE. UU.: El Número de Seguro Social de 9 dígitos con restricciones documentadas del número de área (primeros 3 dígitos), estructura del número de grupo (2 dígitos del medio) y rango de número de serie (últimos 4 dígitos). Los algoritmos de validación están establecidos y bien documentados.
Estos tres identificadores tienen diferentes formatos, diferentes algoritmos de validación y diferentes contextos regulatorios. Un sistema de cumplimiento que procesa documentos de Brasil, India y EE. UU. simultáneamente no puede confiar en ninguna herramienta única construida para el formato de un país.
La Brecha Multi-Regulatoria en la Práctica
La brecha entre la detección de SSN y la cobertura global es mayor de lo que la mayoría de los equipos de cumplimiento se dan cuenta. Las organizaciones que verifican "nuestra herramienta de PII está funcionando" al probarla contra datos de EE. UU. nunca descubren que falla en formatos no estadounidenses hasta que un evento regulatorio pone de manifiesto la falla.
El Artículo 28 del GDPR requiere un Acuerdo de Procesamiento de Datos por escrito con cada procesador de datos. La DPIA para la herramienta de anonimización debe abordar si la herramienta cubre todos los formatos de identificador presentes en los datos que se están procesando. Una DPIA que enumera "detección de SSN" como el control principal de PII para un conjunto de datos que contiene vendedores brasileños con números de CPF contiene una brecha de cumplimiento documentada — una que puede ser identificada en una auditoría regulatoria.
La combinación de la multa máxima del 4% de los ingresos anuales globales del GDPR, las disposiciones equivalentes de la LGPD y la aplicación emergente de la DPDP crea un riesgo regulatorio acumulativo para las organizaciones globales que dependen de herramientas de detección de PII de un solo país.
Fuentes: