Kepatuhan PII Global: Tiga Undang-Undang, Tiga Format ID
Sebuah marketplace UK menangani dokumen penjual dari 80 negara. Tiga undang-undang berlaku sekaligus: GDPR untuk penjual EU, LGPD untuk penjual Brasil, dan UU DPDP India untuk penjual India. Setiap undang-undang menyebutkan ID nasional yang berbeda sebagai data yang dilindungi. Setiap format memiliki logika validasinya sendiri.
CPF Brasil: Format dan Status LGPD
CPF (Cadastro de Pessoas Físicas) adalah nomor wajib pajak Brasil. Formatnya 11 digit dalam format XXX.XXX.XXX-XX. Dua digit terakhir adalah digit validasi. Algoritma matematika pada sembilan digit pertama menghasilkannya.
LGPD Brasil memperlakukan CPF sebagai pengidentifikasi pribadi yang dilindungi, mirip dengan SSN AS dalam hal sensitivitasnya. Alat yang tidak mengetahui format CPF tidak akan dapat menemukannya. Alat yang melewati checksum akan menghasilkan kecocokan palsu.
Aadhaar India: Format dan Aturan DPDP
Aadhaar adalah nomor 12 digit yang diterbitkan oleh UIDAI India. Nomor ditetapkan secara acak. Digit terakhir adalah digit validasi Verhoeff.
UU DPDP India menciptakan kewajiban bagi setiap entitas yang menangani data terkait Aadhaar. Deteksi membutuhkan dua langkah. Pertama, cocokkan format 12 digit dan periksa digit Verhoeff. Kedua, filter berdasarkan konteks. Tidak setiap string 12 digit adalah Aadhaar.
SSN AS: Struktur yang Sudah Dikenal
SSN terdiri dari sembilan digit. Tiga digit pertama adalah nomor area. Dua digit berikutnya adalah nomor grup. Empat digit terakhir adalah nomor seri. Setiap segmen memiliki aturan yang telah ditetapkan. Validasinya sudah terdokumentasi dengan baik.
Kesenjangan antara Alat Satu Negara dan Aturan Global
Ketiga ID ini tidak berbagi format maupun aturan validasi yang sama. Alat yang dibangun untuk penggunaan di AS akan menangkap SSN. Alat tersebut mungkin melewatkan CPF dan Aadhaar sepenuhnya.
Kebanyakan tim baru menyadari celah ini ketika regulator bertanya — bukan sebelumnya. Celah ini menciptakan risiko nyata di bawah setiap undang-undang:
- GDPR Pasal 28 mewajibkan Perjanjian Pemrosesan Data tertulis dengan setiap pemroses. DPIA yang mencantumkan "deteksi SSN" sebagai kontrol utama — ketika dataset juga mengandung nomor CPF — memiliki celah yang terdokumentasi. Auditor dapat menemukannya.
- LGPD dapat mendenda hingga 2% dari pendapatan Brasil, maksimal R$50 juta per pelanggaran. CPF yang tidak terdeteksi adalah pelanggaran LGPD langsung.
- DPDP masih baru dalam penegakannya. Tim yang mendokumentasikan cakupan mereka sekarang akan lebih siap ketika putusan awal menetapkan standar.
Tiga rezim denda sekaligus menciptakan risiko berlapis. Alat satu negara membuat tim global rentan.
Apa yang Diperlukan untuk Cakupan Penuh
Sebuah alat membutuhkan format, algoritma validasi, dan konteks hukum dari setiap ID. CPF membutuhkan checksum modular. Aadhaar membutuhkan validasi Verhoeff ditambah filter konteks. SSN membutuhkan aturan area dan grup. Ini adalah tiga masalah terpisah. Tidak ada pola pencarian tunggal yang mencakup semuanya.
Lihat juga: celah pengidentifikasi PII global: SSN, CPF, Aadhaar, panduan penegakan LGPD Brasil oleh ANPD, dan kepatuhan teknis UU privasi DPDPA India.