ANSPDCP Romania: Perché il settore BPO della Romania affronta un rischio GDPR sproporzionato — Rilevamento e conformità CNP

L'Autorità Nazionale di Sorveglianza del Trattamento dei Dati Personali (ANSPDCP) della Romania sta supervisionando una trasformazione della conformità in uno dei settori tecnologici e di outsourcing in più rapida crescita dell'UE. Bucarest, Cluj-Napoca e Iași elaborano dati di cittadini dell'UE provenienti da Germania, Francia, Regno Unito e Paesi Bassi su larga scala — e l'applicazione dell'ANSPDCP sta aumentando rapidamente.

L'ANSPDCP ha emesso multe per 1,8 milioni di euro per violazioni del GDPR tra il 2022 e il 2024, con il settore BPO/outsourcing che rappresenta la più alta concentrazione di casi di enforcement.

Il profilo di esposizione GDPR del BPO romeno

Elaborazione di dati personali ad alto volume: I call center che gestiscono controversie di fatturazione trattano nomi, indirizzi, numeri di conto, storici di pagamento e dati sull'uso dei servizi. I servizi di supporto IT accedono alle configurazioni di sistema dei clienti contenenti dati personali.

Dati dei cittadini dell'UE nelle mani romene: I soggetti interessati sono principalmente cittadini tedeschi, francesi, olandesi o britannici. Quando le cose vanno male, i soggetti interessati interessati si rivolgono alla loro DPA di origine — creando un'esposizione all'enforcement transfrontaliero da BfDI, CNIL, ICO o AP NL oltre alla giurisdizione dell'ANSPDCP.

Complessità della catena dei subprocessori: L'ANSPDCP ha riscontrato che il 45% delle imprese romene non dispone di adeguati Accordi di Trattamento dei Dati con i loro subprocessori. Gli ATD devono specificare le misure tecniche che il subprocessore implementerà.

Fallimenti nella revoca dell'accesso: I settori BPO hanno un alto turnover dei dipendenti. L'ANSPDCP scopre ripetutamente che i dipendenti precedenti mantengono credenziali attive settimane dopo la partenza — una violazione ricorrente nei casi di enforcement romeni.

Il CNP: Il principale identificatore PII della Romania

Il Codice Numerico Personale (CNP) è un numero di identificazione nazionale di 13 cifre che codifica:

• Cifra 1: Genere e secolo (1=maschio 1900-1999, 2=femmina 1900-1999, 5=maschio 2000+, 6=femmina 2000+, 7=maschio residente straniero, 8=femmina residente straniero)
• Cifre 2-7: Data di nascita (YYMMDD)
• Cifre 8-9: Codice della contea di nascita
• Cifre 10-12: Numero sequenziale
• Cifra 13: Cifra di controllo (modulo ponderato 11)

Il CNP codifica genere, data di nascita, regione di nascita e stato di cittadinanza — rendendolo molto più ricco di informazioni personali rispetto alla maggior parte degli identificatori dell'Europa occidentale. L'ANSPDCP ha classificato il CNP come richiedente una protezione elevata che si avvicina allo status di categoria speciale.

Il problema del rilevamento: La revisione dell'enforcement dell'ANSPDCP del 2024 ha trovato che il 78% degli strumenti PII utilizzati nell'outsourcing romeno non riesce a rilevare il CNP con una corretta validazione del checksum. Le conseguenze:

• I numeri CNP nei registri dei clienti, nei file dei dipendenti e nelle copie di scansione delle ID rimangono non rilevati
• I dati condivisi con le aziende madri dell'Europa occidentale per analisi o formazione AI contengono cittadini romeni identificabili
• L'analisi post-breach rivela l'esposizione del CNP in dati certificati come "anonymizzati"

Le priorità di enforcement dell'ANSPDCP 2024-2025

Registrazione audio dei call center: L'ANSPDCP ha preso di mira le pratiche di registrazione che mancano di adeguati programmi di conservazione o controlli di accesso. Le registrazioni conservate "indefinitamente per conformità" senza uno scopo documentato e programmi di cancellazione violano il GDPR.

Outsourcing dei dati sanitari: Le aziende romene che elaborano registri medici, richieste di assicurazione o dati sulle prescrizioni per clienti dell'Europa occidentale affrontano la massima esposizione a multe. I dati sanitari (categoria speciale dell'articolo 9) richiedono una base legale esplicita, DPIA e misure tecniche elevate.

Controllo degli accessi e registrazione: Le verifiche dell'ANSPDCP identificano costantemente registrazioni inadeguate — le organizzazioni non possono dimostrare quali dati sono stati accessibili, da chi e quando. Per le aziende BPO romene che gestiscono dati dei clienti dell'UE, i registri di accesso devono essere sufficientemente completi per determinare l'ambito della violazione in caso di incidente.

Lingua romena: Il livello mancante

Oltre al CNP, i documenti romeni contengono identificatori che gli strumenti generici non rilevano:

Cartea de identitate (CI): Carta d'identità nazionale romena con formato numero unico. Le copie scansionate nei file di onboarding dei clienti richiedono rilevamento.

NER in lingua romena: La corrispondenza con i clienti, i ticket di supporto e i documenti interni in romeno richiedono elaborazione del linguaggio naturale in lingua romena. Gli strumenti che si basano su NLP in inglese applicati a testi romeni mostrano prestazioni significativamente inferiori.

Formati degli indirizzi: Le convenzioni degli indirizzi romeni ("Strada," "Bulevardul," "Numărul") differiscono dai formati dell'Europa occidentale e sono spesso gestite male dai modelli NLP addestrati su inglese o tedesco.

Per le organizzazioni di outsourcing romene: il rilevamento del CNP con validazione del checksum, il rilevamento della carta d'identità nazionale e del passaporto romeni, il NER in lingua romena e la gestione documentata dei subprocessori sono le quattro capacità che soddisfano lo standard di adeguatezza tecnica dell'ANSPDCP.

Fonti:

• ANSPDCP: Autorità per la Protezione dei Dati della Romania
• ANSPDCP: Rapporto Annuale 2024