anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

ANSPDCP Romania: Rilevamento e Validazione del CNP

L'ANSPDCP ha rilevato che il 78% degli strumenti non rileva il CNP rumeno con la dovuta validazione. Il CNP codifica sesso, data di nascita e contea — con implicazioni per l'Articolo 9 del GDPR.

June 5, 20267 min di lettura
Romania ANSPDCPCNP checksum validationRomanian GDPRBPO complianceRomanian identifiers

ANSPDCP Romania: Rilevamento del CNP e verifiche GDPR

Aggiornato al 2026

L'autorità rumena per la protezione dei dati è l'ANSPDCP. La sua valutazione del 2024 ha rilevato che il 78% degli strumenti PII non riesce a rilevare il Cod Numeric Personal (CNP), nella maggior parte dei casi saltando il passaggio di verifica del checksum. Questa lacuna genera un rischio di conformità reale: la Romania tratta dati UE per numerosi clienti occidentali, con un'esposizione molto ampia.

L'identificativo nazionale rumeno più ricco di dati

Il CNP è un identificativo nazionale a 13 cifre. Ogni gruppo di cifre contiene dati personali:

  • Cifra 1: Codice di sesso e secolo. Maschio nato tra il 1900 e il 1999 = 1. Femmina nata tra il 1900 e il 1999 = 2. Maschio nato dal 2000 in poi = 5. Femmina nata dal 2000 in poi = 6. Residente straniero maschio = 7. Residente straniera femmina = 8. Altro residente = 9.
  • Cifre 2–3: Ultime due cifre dell'anno di nascita.
  • Cifre 4–5: Mese di nascita (01–12).
  • Cifre 6–7: Giorno di nascita (01–31).
  • Cifre 8–9: Codice di contea. Copre 41 contee e i sei settori di Bucarest (codici 01–52).
  • Cifre 10–12: Ordine di nascita nel giorno e nella contea di riferimento.
  • Cifra 13: Cifra di controllo.

La sola cifra 1 rivela il sesso biologico. Ai sensi dell'Articolo 9 del GDPR, questo rende il CNP un dato di categoria speciale, che richiede una protezione più elevata rispetto ai dati personali ordinari.

Come funziona la cifra di controllo: Si prendono le prime 12 cifre e si moltiplica ciascuna per il rispettivo peso (2, 7, 9, 1, 4, 6, 3, 5, 8, 2, 7, 9). Si sommano i risultati e si divide per 11, prendendo il resto. Un resto di 10 dà cifra di controllo 1; un resto di 11 indica un codice non valido; qualsiasi altro resto corrisponde alla cifra di controllo.

Gli strumenti che saltano questo test presentano due modalità di errore. Prima: qualsiasi stringa di 13 cifre viene segnalata come corrispondenza (falsi positivi). Seconda: un numero corrotto supera il controllo del pattern pur contenendo dati errati — questi dati richiedono revisione ma vengono ignorati (falsi negativi).

Problemi di NER nei documenti in lingua rumena

Il rilevamento degli identificativi è solo una parte del lavoro. I testi in rumeno aggiungono ulteriori difficoltà al rilevamento.

Diacritici: Il rumeno utilizza ș, ț, ă, â e î. Gli strumenti addestrati su altre lingue spesso non riconoscono i nomi contenenti queste lettere. I documenti più datati in codifica Latin-2 generano ulteriori errori.

Formati degli indirizzi: I tipi di via utilizzano forme abbreviate — Str., Bd., Al., Cal. I nomi di città e comuni seguono convenzioni locali. I parser progettati per indirizzi francesi o tedeschi ottengono risultati scadenti.

Flessione dei nomi: In rumeno, i nomi cambiano forma in base al caso grammaticale. Lo stesso nome appare in forme diverse all'interno del documento. I modelli NER devono gestire questa variabilità per collegare correttamente i nomi tra le diverse parti del testo.

Consulta la nostra guida al rilevamento PII in area APAC per comprendere come le lacune linguistiche influiscano sul rilevamento in alfabeti non occidentali.

Come si sviluppano i casi ANSPDCP

I casi ANSPDCP mostrano tre tipologie ricorrenti.

Violazioni nei BPO: File condivisi contenenti numeri identificativi dei dipendenti e dati di clienti UE, privi di cifratura. Log insufficienti impediscono di stabilire a quali record si sia avuto accesso, prolungando l'indagine e aumentando le sanzioni.

Esposizione sanitaria: Cartelle cliniche — con codice identificativo nazionale, tessera sanitaria e diagnosi — raggiungono persone non autorizzate. Lo strumento PII non supportava questo formato e i dati sono stati trasmessi senza mascheramento.

Mancati requisiti per i trasferimenti transfrontalieri: Una società di outsourcing invia record collegati agli identificativi a un soggetto extra-SEE, senza Transfer Impact Assessment né Clausole Contrattuali Standard. Lo status del dato ai sensi dell'Articolo 9 trasforma una lacuna ordinaria in una violazione più grave.

Tre misure di controllo per la conformità all'ANSPDCP

Queste tre misure costituiscono il requisito tecnico minimo:

  1. Rilevamento del CNP con validazione modulo 11 — il solo pattern matching non è sufficiente.
  2. NER con supporto dei diacritici — copertura di ș, ț, ă, â e î sia in sorgenti UTF-8 che Latin-2.
  3. Rilevamento della carta d'identità — il documento nazionale compare accanto al CNP in molte tipologie documentali.

Per una visione più ampia del rischio GDPR creato dagli identificativi nazionali, consulta la nostra guida al rilevamento dei codici fiscali nazionali UE.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.