anonym.legal

By · Last updated 2026-05-18

Volver al BlogGDPR y Cumplimiento

UODO y RODO Polaco: Por qué PESEL, NIP y REGON son...

UODO encontró que el 89% de las herramientas implementadas no detectan correctamente el PESEL polaco.

May 18, 20267 min de lectura
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

La Urząd Ochrony Danych Osobowych (UODO) de Polonia — la autoridad de protección de datos que aplica el RODO (el nombre polaco para el GDPR) — identificó una brecha técnica sistémica en su encuesta de aplicación de 2024: el 89% de las herramientas de PII implementadas en organizaciones polacas no detectan correctamente el número PESEL. Para un país que procesa 2.3 millones de registros de clientes de la UE diariamente a través de su sector de BPO, esta brecha crea una exposición de cumplimiento que abarca la jurisdicción de UODO y las DPAs de cada país de la UE cuyos datos de ciudadanos manejan las organizaciones polacas.

PESEL: El Estándar Técnico que UODO Requiere

El PESEL (Powszechny Elektroniczny System Ewidencji Ludności) es un número de registro nacional de población de 11 dígitos que codifica:

  • Dígitos 1-2: Año de nacimiento (últimos dos dígitos)
  • Dígitos 3-4: Mes de nacimiento (modificado por siglo: 1800s = 80+mes, 1900s = mes tal cual, 2000s = 20+mes, 2100s = 40+mes, 2200s = 60+mes)
  • Dígitos 5-6: Día de nacimiento
  • Dígitos 7-10: Número secuencial (número impar para hombres, par para mujeres)
  • Dígito 11: Dígito de verificación utilizando el algoritmo: multiplicar los dígitos por pesos (1,3,7,9,1,3,7,9,1,3), sumar, módulo 10, si el resultado ≠ 0 restar de 10

La codificación siglo-mes (80+mes para nacimientos en 1800s, 20+mes para nacimientos en 2000s) es única para PESEL y causa falsos negativos sistemáticos en herramientas que solo reconocen el formato estándar de 1900s.

Requisito técnico de UODO: las herramientas deben implementar el algoritmo completo del dígito de verificación y manejar todas las cinco codificaciones siglo-mes. Las herramientas que solo validan el formato de año de nacimiento de 1900s no detectan a los polacos nacidos en 2000s (que utilizan códigos de mes 21-32 en lugar de 01-12) — la demografía de 25 años más activa en servicios digitales.

NIP y REGON: La Brecha de Documentos Empresariales

NIP (Numer Identyfikacji Podatkowej): número de identificación fiscal polaco de 10 dígitos con dígito de verificación. El dígito de verificación utiliza un algoritmo de suma ponderada: multiplicar los primeros 9 dígitos por pesos (6,5,7,2,3,4,5,6,7), sumar, módulo 11, verificar contra el dígito 10.

El NIP aparece en prácticamente todos los documentos empresariales polacos — facturas, contratos, declaraciones fiscales, registros de nómina. Es tanto un identificador individual (NIP osoby fizycznej) como empresarial (NIP podmiotu).

REGON: número estadístico empresarial de 9 o 14 dígitos. El REGON de 9 dígitos utiliza un algoritmo de dígito de verificación; el REGON de 14 dígitos (que identifica unidades específicas de la empresa) utiliza un algoritmo diferente. Ambos aparecen en contratos comerciales y documentación de proveedores.

La combinación de NIP y REGON en documentos empresariales, junto con identificadores personales como PESEL en registros de recursos humanos, significa que la detección integral de PII polaca requiere soporte para los tres tipos de identificadores simultáneamente.

El Sector de BPO de Polonia: La Exposición de Cumplimiento Multiplicada

El sector de subcontratación de procesos empresariales de Polonia procesa datos personales en nombre de empresas de Europa Occidental:

  • Registros financieros de clientes de bancos alemanes manejados por centros de procesamiento polacos
  • Reclamaciones de asegurados franceses procesadas en centros de servicios compartidos polacos
  • Datos administrativos de salud del Reino Unido procesados por equipos de back-office de salud digital polacos

Cuando una organización de BPO polaca no detecta PESEL en un archivo de registros de empleados polacos — o no detecta Steuer-IDs alemanes en registros de clientes alemanes procesados junto con datos polacos — la violación crea una exposición simultánea a:

  1. UODO (DPA polaca): Por medidas técnicas inadecuadas que afectan los datos de los nacionales polacos
  2. BfDI/Landesdatenschutzbehörden: Por medidas técnicas inadecuadas que afectan los datos de los nacionales alemanes
  3. CNIL: Por datos de nacionales franceses
  4. ICO: Por datos de nacionales del Reino Unido

El cumplimiento del RODO en múltiples jurisdicciones requiere herramientas de PII que cubran todos los identificadores nacionales presentes en el entorno de procesamiento — no solo identificadores polacos para organizaciones de BPO polacas, sino todo el panorama de identificadores de la UE para organizaciones que manejan datos de ciudadanos de la UE en Polonia.

Fuentes:

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.