ANSPDCP Errumania: BPO GDPR eta CNP Arriskua

ANSPDCP Errumania: BPO GDPR Arriskuak

Errumaniako pribatutasun-agintaritza GDPR betearazpena areagotzen ari da. Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) EBko azkarren hazten ari den azpikontratazio-sektoreei bat estaltzen du.

Bukarest, Cluj-Napoca eta Iasi Alemaniatik, Frantziatik, Erresuma Batutik eta Herbehereetatik EBko herritar-erregistroak prozesatzen dituzte. ANSPDCPk 1,8 milioi euro GDPR isun jarri zituen 2022tik 2024ra. BPO eta azpikontratazio-enpresak kasu gehienetan egon ziren.

BPO Esposizioa: Lau Arrisku Arlo Nagusi

Bolumen handiko datu pertsonal erregistroak. Dei-zentroek fakturazio-gatazkak kudeatzen dituzte. Izenak, helbideak, kontu-zenbakiak eta ordainketa-historia prozesatzen dituzte. IT laguntza-taldeek bezero-sistemeetara sarbidea dute. Sistema horiek datu pertsonalak dituzte.

Atzerrian prozesatutako EBko herritar-erregistroak. Kaltetutako pertsonak askotan Alemaniakoak, Frantsesak, Herbehereekoak edo Britainiarrak dira. Haustea gertatzen denean, etxeko arautzailera jotzen dute. Horrek BfDI, CNIL, ICO edo AP NL esposizioa gehitzen du ANSPDCPren beraren gainean. Mugaz gaindiko kasuei buruz gehiago jakiteko, ikusi gure BfDI Alemania GDPR gida.

Azpiprozesakuntza-kate ahulak. ANSPDCPk tokiko enpresen %45ak ez duela baliozko Datu Prozesatze Akordioa bere azpiprozesadoreekin aurkitu zuen. DPA bakoitzak azpiprozesadoreak hartuko dituen urrats teknikoak zerrendatu behar ditu.

Sarbide-deuseztatze hutsuneak. BPOk langile-txanda handia du. ANSPDCPk irteerako langileak irteten osteko asteetan sarbide aktiboa dutela aurkitzen du. Hori kasuz kasu agertzen da.

CNP: Errumaniako Identifikatzaile Nagusia

Cod Numeric Personal (CNP) 13 digituko nortasun-zenbaki nazionala da. Datu pertsonal garrantzitsuak gordetzen ditu:

• 1. Digituak: Generoa eta jaiotze-mendea (1=ar 1900-1999, 2=eme 1900-1999, 5=ar 2000+, 6=eme 2000+, 7=atzerritar egoiliar ar, 8=atzerritar egoiliar eme)
• 2-7. Digituak: Jaiotze-data (UUHH/EE)
• 8-9. Digituak: Jaiotze-probintziaren kodea
• 10-12. Digituak: Sekuentzial zenbakia
• 13. Digituak: Egiaztapen-digituak (11 modulus ponderatua)

CNPk generoa, jaiotze-data, jaiotze-eskualdea eta egoitza-egoera gordetzen ditu. Horrek EBko ID gehienak baino askoz aberatsagoa egiten du. ANSPDCPk CNP kategoria bereziaren estatusera gertu jarri du.

Detekzio-hutsunea. ANSPDCPren 2024ko berrikusketak aurkitu zuen azpikontratazio-enpresen PII tresnen %78k CNP detektatzean huts egiten duela. Gehienek egiaztapen-sumaren egiaztapenik ez dute. Bezero-erregistroetan eta langile-fitxategietan dauden CNP zenbakiak ohargabe geratzen dira. Guraso-enpresei bidalitako erregistroek herritar-xehetasun biziak eduki ditzakete. Hauste osteko berrikusketak egiaztatuta agertzen ditu CNP fitxategietan.

Betearazpenaren Gailuak: 2024-2025

Dei-zentroaren audioa. ANSPDCPk atxikipen-planik edo sarbide-kontrolik gabeko grabaketak zuzenduta ditu. Audio gordetzea mugagabean egon daiteke ezabatze-ordutegi gabe, GDPRa urratuz.

Osasun-azpikontratatzea. Erregistro medikoak, kaltetutako erreklamazioak edo preskripzio-fitxategiak prozesatzen dituzten enpresek arrisku handiena dute. Osasun-erregistroak 9. artikuluaren kategoria berezikoak dira. Oinarri juridiko esplizitua, DPIA bat eta kontrol tekniko sendoak behar dituzte.

Sarbide-erregistratzea. ANSPDCP ikasketak erregistro ahulak aurkitzen ditu. Enpresek ezin dute erakutsi zein erregistrotan sartu ziren, nortzuek edo noiz. Erregistroak nahiko osatuak egon behar dira hauste baten ondoriozko irismena zehazteko.

Hizkuntza: Isilpeko Hutsunea

Tokiko dokumentuek tresna generikoek galtzen dituzten identifikatzaileak dituzte.

Cartea de identitate (CI). Hau nortasun-agiri nazionala da. Bere zenbaki-formatua du. Onboarding fitxategietan eskaneaturiko kopiek detekzio-logika zehatza behar dute.

Hizkuntz espezifikoko NER. Laguntza-txartelak eta bezero-mezuak hizkuntza honetarako eraikitako NLP behar dute. Ingelesez entrenatutako tresnek emaitza txarrak ematen dituzte.

Helbide-formatuak. Strada, Bulevardul eta Numarul bezalako terminoak merkatu honetarako bereziak dira. Ingelesez edo alemanez entrenatutako ereduek maiz galtzen dituzte.

ANSPDCPren estandarra betetzeko urratsei buruz, ikusi gure GDPR auditoretzetarako anonimizazio-koherentziaren gida.

BPO Enpresek Behar Dutena

Lau gauza estaltzen dute ANSPDCPren estandar teknikoa:

1. Egiaztapen-sumaren baliozkotzea duen CNP detekzioa
2. Cartea de identitate eta pasaporte detekzioa
3. Hizkuntz espezifikoko NER
4. Urrats tekniko izendatuak dituzten azpiprozesadore-akordioak

Iturriak

• ANSPDCP: Errumaniako Datu Babeseko Agintaritza
• ANSPDCP: 2024ko Urteko Txostena