El problema de la herramienta de PII centrada en EE. UU.
La mayoría de las herramientas de detección de PII fueron construidas en los Estados Unidos para formatos de datos de EE. UU. El Número de Seguro Social — 9 dígitos en formato AAA-BB-CCCC, con números de área documentados, números de grupo y números de serie — fue el objetivo principal de diseño. Las herramientas construidas en torno a la detección de SSN detectan SSNs de manera confiable. También pueden detectar números de teléfono, direcciones de correo electrónico y formatos de licencias de conducir de EE. UU. Sin embargo, sistemáticamente omiten los formatos de identificador utilizados en todos los demás países.
El GDPR no reconoce la centralidad de EE. UU. como una exención de cumplimiento. Una Steuer-ID (Steuerliche Identifikationsnummer) alemana es un número de identificación fiscal de 11 dígitos emitido por el Bundeszentralamt für Steuern, con un algoritmo de verificación específico validado contra un dígito de verificación. Identifica a los residentes alemanes de manera tan personal como un SSN identifica a los estadounidenses. El Artículo 4 del GDPR define los datos personales como "cualquier información relacionada con una persona natural identificada o identificable" — una Steuer-ID es datos personales bajo el GDPR independientemente de si su herramienta de PII conoce el formato.
Se han emitido multas del GDPR por exposición de PII específica de países de la UE en sistemas de datos que procesaron datos de residentes de la UE utilizando herramientas configuradas solo para formatos de EE. UU. La brecha de cumplimiento no es teórica — ha producido acciones de ejecución.
El panorama de identificadores europeos
La magnitud de la brecha de cobertura de identificadores europeos:
Alemania: Steuer-ID (11 dígitos, verificación), Sozialversicherungsnummer (12 dígitos, formato estructural), Reisepass (pasaporte de 10 dígitos con códigos específicos de autoridad emisora)
Francia: NIR/Numero de Securite Sociale (15 dígitos que codifican género [1], año de nacimiento [2], mes de nacimiento [2], departamento [2], comuna [3], número de registro [3], clave de verificación [2]), Carte Vitale (tarjeta de 15 dígitos NIR), SIRET (identificador empresarial de 14 dígitos), SIREN (9 dígitos)
Suecia: Personnummer (10 dígitos, formato YYMMDD-XXXX con los últimos dos dígitos identificando el condado de nacimiento en números más antiguos), Samordningsnummer (número de coordinación para no residentes, formato similar con día + 60)
Noruega: Fodselsnummer (11 dígitos, formato DDMMYYNNNKK con género en los dígitos del medio), D-nummer (número de coordinación, día + 40)
Brasil: CPF (Cadastro de Pessoas Fisicas, 11 dígitos con dos dígitos de verificación), CNPJ (identificador empresarial de 14 dígitos)
India: Aadhaar (identidad biométrica de 12 dígitos, con dígito de verificación del algoritmo Verhoeff), PAN (alfanumérico de 10 caracteres para impuestos sobre la renta)
EAU: Emirates ID (15 dígitos: 784-año de nacimiento-secuencia-verificación)
Un gerente de recursos humanos global que procesa datos de nómina para empleados en 12 países necesita una herramienta que detecte todos los formatos de identificación nacional de los 12 países en una sola pasada — sin configurar 12 herramientas específicas para cada país ni mantener 12 bibliotecas de regex separadas.
La arquitectura de tipos de entidad de más de 285
La biblioteca de tipos de entidad de más de 285 cubre el conjunto completo de identificadores de estados miembros de la UE, principales identificadores de APAC (Aadhaar, PAN, CPF, CNPJ, Emirates ID, ID de ciudadano tailandés) e identificadores de EE. UU. (SSN, EIN, licencia de conducir por estado) en un solo motor de detección. La biblioteca se mantiene y actualiza a medida que evolucionan los formatos específicos de cada país.
Fuentes: