El problema de la fragmentación de identificadores globales
Una plataforma de mercado con vendedores en 45 países procesa documentos de incorporación que lucen completamente diferentes dependiendo del país de origen del vendedor. Un vendedor brasileño presenta un CPF (Cadastro de Pessoas Físicas) — un ID fiscal de 11 dígitos con dos dígitos de verificación calculados utilizando un algoritmo de ponderación específico. Un vendedor indio proporciona un PAN (Permanent Account Number) — un formato alfanumérico de 10 caracteres que combina letras y dígitos en un patrón posicional específico. Un vendedor alemán proporciona un Steuer-ID (11 dígitos con verificación de Luhn). Un vendedor holandés proporciona un BSN (Burger Service Nummer, 9 dígitos con validación mod-11).
Cada formato tiene diferente longitud, estructura y algoritmo de validación. Un único regex diseñado para un formato no coincide con los otros. Un patrón genérico de "cadena numérica de 10-12 dígitos" produce tasas de falsos positivos prohibitivas en documentos financieros que contienen precios, cantidades, fechas y números de referencia.
La obligación de cumplimiento no diferencia por país. El GDPR cubre los datos de los vendedores de la UE. La LGPD cubre los datos del vendedor brasileño. La Ley DPDP cubre los datos del vendedor indio. Cada marco regulatorio requiere la protección adecuada de los datos personales cubiertos por ese marco — y "adecuado" significa que el identificador fue detectado y protegido, no solo que se hizo un intento de detección.
La brecha de 40 identificadores
La mayoría de las herramientas de detección de PII empresariales vienen con reconocedores para aproximadamente 40 tipos de identificadores comunes. Estos típicamente incluyen:
- Número de Seguro Social de EE. UU.
- Formato de pasaporte de EE. UU.
- Licencia de conducir de EE. UU. (específica del estado)
- Formatos genéricos de tarjetas de crédito (validación de Luhn)
- Direcciones de correo electrónico
- Números de teléfono (formato NANP)
- Direcciones IP
Las herramientas en este nivel de cobertura satisfacen razonablemente bien los requisitos de cumplimiento de América del Norte de habla inglesa. No cubren el paisaje de identificadores de organizaciones que operan globalmente.
La brecha entre 40 identificadores y el cumplimiento global es sustancial:
Identificadores sudamericanos: El CPF brasileño (individual) y el CNPJ (corporativo) requieren validación de suma de verificación específica para el formato de la autoridad fiscal de Brasil. El CUIT argentino sigue un algoritmo de suma ponderada diferente. El NIT colombiano utiliza otro método de validación.
Identificadores asiáticos: El PAN indio, Aadhaar (ID biométrico de 12 dígitos), GSTIN indio (identificación GST) y el ID de votante tienen formatos distintos. El My Number japonés (ID nacional de 12 dígitos), el Número de Registro de Residentes de Corea del Sur y el ID nacional chino (18 caracteres con dígito de verificación) requieren reconocedores separados.
Identificadores de la UE: Más allá de los formatos comúnmente reconocidos, la cobertura integral de la UE requiere formatos de IBAN para los 27 estados miembros de la UE (cada uno con longitud y formato específicos del país), además de formatos de ID nacional para cada estado miembro (Steuer-ID alemana, NIR francesa, BSN holandés, PESEL polaco, Personnummer sueco, y más).
Lo que realmente cubren más de 260 tipos de entidades
Una biblioteca de entidades integral con más de 260 tipos cubre:
- Todos los identificadores nacionales de los 27 estados miembros de la UE (incluyendo los menos cubiertos: EMŠO esloveno, OIB croata, EGN búlgaro, CNP rumano)
- Todos los formatos de IBAN de la UE (27 formatos específicos del país con validación)
- Principales identificadores sudamericanos (CPF/CNPJ de Brasil, CUIT de Argentina, NIT de Colombia)
- Principales identificadores asiáticos (PAN/Aadhaar/GSTIN de India, My Number de Japón, RRN de Corea)
- Identificadores específicos del Reino Unido post-Brexit (Número NI del Reino Unido, Número NHS, variantes de NINO)
- Identificadores médicos en diferentes jurisdicciones (NPI de EE. UU., números DEA, números NHS, formatos MRN de hospitales)
- Identificadores financieros (códigos SWIFT, formatos BIC, varios patrones de números de cuenta)
Para un mercado con sede en Londres que atiende a vendedores de 45 países, la cobertura de más de 260 entidades significa que un solo despliegue maneja la identificación y protección de los datos personales de los vendedores en todas las jurisdicciones — sin requerir herramientas regionales separadas, tuberías de procesamiento separadas, o enriquecimiento manual para los tipos de identificadores nacionales que una herramienta de 40 reconocedores no cubre.
La postura de cumplimiento cambia de "protegemos identificadores comunes" a "protegemos los identificadores presentes en nuestros datos reales." Para operaciones globales, esa distinción es la diferencia entre el cumplimiento parcial y la protección genuina.
Fuentes: