UODO y RODO Polaco: Por qué PESEL, NIP y REGON son los Identificadores que Su Herramienta de PII No Detecta

La Urząd Ochrony Danych Osobowych (UODO) de Polonia — la autoridad de protección de datos que aplica el RODO (el nombre polaco para el GDPR) — identificó una brecha técnica sistémica en su encuesta de aplicación de 2024: el 89% de las herramientas de PII implementadas en organizaciones polacas no detectan correctamente el número PESEL. Para un país que procesa 2.3 millones de registros de clientes de la UE diariamente a través de su sector de BPO, esta brecha crea una exposición de cumplimiento que abarca la jurisdicción de UODO y las DPAs de cada país de la UE cuyos datos de ciudadanos manejan las organizaciones polacas.

PESEL: El Estándar Técnico que UODO Requiere

El PESEL (Powszechny Elektroniczny System Ewidencji Ludności) es un número de registro nacional de población de 11 dígitos que codifica:

• Dígitos 1-2: Año de nacimiento (últimos dos dígitos)
• Dígitos 3-4: Mes de nacimiento (modificado por siglo: 1800s = 80+mes, 1900s = mes tal cual, 2000s = 20+mes, 2100s = 40+mes, 2200s = 60+mes)
• Dígitos 5-6: Día de nacimiento
• Dígitos 7-10: Número secuencial (número impar para hombres, par para mujeres)
• Dígito 11: Dígito de verificación utilizando el algoritmo: multiplicar los dígitos por pesos (1,3,7,9,1,3,7,9,1,3), sumar, módulo 10, si el resultado ≠ 0 restar de 10

La codificación siglo-mes (80+mes para nacimientos en 1800s, 20+mes para nacimientos en 2000s) es única para PESEL y causa falsos negativos sistemáticos en herramientas que solo reconocen el formato estándar de 1900s.

Requisito técnico de UODO: las herramientas deben implementar el algoritmo completo del dígito de verificación y manejar todas las cinco codificaciones siglo-mes. Las herramientas que solo validan el formato de año de nacimiento de 1900s no detectan a los polacos nacidos en 2000s (que utilizan códigos de mes 21-32 en lugar de 01-12) — la demografía de 25 años más activa en servicios digitales.

NIP y REGON: La Brecha de Documentos Empresariales

NIP (Numer Identyfikacji Podatkowej): número de identificación fiscal polaco de 10 dígitos con dígito de verificación. El dígito de verificación utiliza un algoritmo de suma ponderada: multiplicar los primeros 9 dígitos por pesos (6,5,7,2,3,4,5,6,7), sumar, módulo 11, verificar contra el dígito 10.

El NIP aparece en prácticamente todos los documentos empresariales polacos — facturas, contratos, declaraciones fiscales, registros de nómina. Es tanto un identificador individual (NIP osoby fizycznej) como empresarial (NIP podmiotu).

REGON: número estadístico empresarial de 9 o 14 dígitos. El REGON de 9 dígitos utiliza un algoritmo de dígito de verificación; el REGON de 14 dígitos (que identifica unidades específicas de la empresa) utiliza un algoritmo diferente. Ambos aparecen en contratos comerciales y documentación de proveedores.

La combinación de NIP y REGON en documentos empresariales, junto con identificadores personales como PESEL en registros de recursos humanos, significa que la detección integral de PII polaca requiere soporte para los tres tipos de identificadores simultáneamente.

El Sector de BPO de Polonia: La Exposición de Cumplimiento Multiplicada

El sector de subcontratación de procesos empresariales de Polonia procesa datos personales en nombre de empresas de Europa Occidental:

• Registros financieros de clientes de bancos alemanes manejados por centros de procesamiento polacos
• Reclamaciones de asegurados franceses procesadas en centros de servicios compartidos polacos
• Datos administrativos de salud del Reino Unido procesados por equipos de back-office de salud digital polacos

Cuando una organización de BPO polaca no detecta PESEL en un archivo de registros de empleados polacos — o no detecta Steuer-IDs alemanes en registros de clientes alemanes procesados junto con datos polacos — la violación crea una exposición simultánea a:

1. UODO (DPA polaca): Por medidas técnicas inadecuadas que afectan los datos de los nacionales polacos
2. BfDI/Landesdatenschutzbehörden: Por medidas técnicas inadecuadas que afectan los datos de los nacionales alemanes
3. CNIL: Por datos de nacionales franceses
4. ICO: Por datos de nacionales del Reino Unido

El cumplimiento del RODO en múltiples jurisdicciones requiere herramientas de PII que cubran todos los identificadores nacionales presentes en el entorno de procesamiento — no solo identificadores polacos para organizaciones de BPO polacas, sino todo el panorama de identificadores de la UE para organizaciones que manejan datos de ciudadanos de la UE en Polonia.

Fuentes:

• UODO: Urząd Ochrony Danych Osobowych
• UODO: Guía Técnica sobre PESEL 2024