La realtà dell'applicazione
Il Comitato europeo per la protezione dei dati e le autorità nazionali di vigilanza valutano la conformità al GDPR sulla base dei risultati, non degli sforzi. Un'organizzazione che ha utilizzato uno strumento di rilevamento PII in buona fede, ma il cui strumento ha sistematicamente perso identificatori nazionali francesi, tedeschi e polacchi, ha comunque fallito nell'implementare "misure tecniche appropriate" ai sensi dell'Articolo 32 del GDPR.
La difesa "abbiamo usato uno strumento" non soddisfa lo standard quando lo strumento non è in grado di rilevare i tipi di dati personali presenti nei dati dell'organizzazione.
Questo non è un rischio ipotetico. Le autorità di vigilanza che indagano su violazioni dei dati e fallimenti nelle richieste di accesso dei soggetti interessati esaminano regolarmente le misure tecniche utilizzate per l'anonimizzazione dei dati. Quando l'esame rivela che uno strumento era incentrato sull'inglese e ha elaborato dati multilingue, il requisito delle "misure appropriate" diventa la questione centrale dell'applicazione.
Cosa stanno scoprendo le autorità di vigilanza
I dati sull'applicazione del GDPR del 2024 mostrano che le violazioni dell'Articolo 32 (misure tecniche e organizzative) rappresentano uno dei motivi più comuni per le multe. Le organizzazioni citano strumenti di anonimizzazione automatizzati come parte della loro documentazione sulle misure tecniche — e le autorità di vigilanza esaminano se quegli strumenti funzionano effettivamente per i tipi di dati elaborati.
Per i datori di lavoro multinazionali che elaborano registri dei dipendenti in tutti gli Stati membri dell'UE, l'esposizione è sistematica. Una piattaforma software HR che anonimizza i dati dei dipendenti prima dell'elaborazione analitica può rimuovere correttamente i PII in lingua inglese lasciando intatti i numeri di previdenza sociale francesi (NIR), gli identificatori fiscali tedeschi (Steuer-ID), i personnummers svedesi e i numeri PESEL polacchi.
L'organizzazione crede di aver implementato misure tecniche. L'autorità di vigilanza scopre che il 40% dei dati personali nel dataset "anonimizzato" è ancora identificabile attraverso identificatori nazionali che il riconoscitore dello strumento non ha coperto.
I formati specifici degli identificatori che gli strumenti solo in inglese perdono
Le differenze strutturali tra gli identificatori nazionali dell'UE e i formati generici/statunitensi significano che gli strumenti incentrati sull'inglese non riescono a rilevarli in modo affidabile:
German Steuer-Identifikationsnummer: formato a 11 cifre con algoritmo di checksum. Non rilevato da strumenti che riconoscono solo formati SSN (a 9 cifre) statunitensi.
French NIR (numéro de sécurité sociale): formato a 15 cifre che codifica sesso, anno di nascita, dipartimento e chiave di controllo. Non rilevato da modelli generici di numeri di telefono o di identificazione.
Swedish Personnummer: formato a 10 o 12 cifre con cifra di controllo di Luhn. Il formato cambia per gli individui nati prima del 1990, richiedendo una consapevolezza del formato che i modelli generici non possiedono.
Polish PESEL: formato a 11 cifre che codifica la data di nascita e il sesso. Senza validazione del checksum, il tasso di falsi positivi per il rilevamento del PESEL è proibitivamente alto.
Le organizzazioni che elaborano questi dati non sono insolite: qualsiasi datore di lavoro dell'UE, azienda di servizi finanziari, fornitore di assistenza sanitaria o agenzia governativa che elabora dati di individui tedeschi, francesi, svedesi o polacchi incontra regolarmente questi identificatori.
Lo standard di conformità è basato sui risultati
Il requisito del GDPR per "misure tecniche e organizzative appropriate" (Articolo 32) è basato sui risultati, non sugli sforzi. Lo standard non è "l'organizzazione ha utilizzato uno strumento di rilevamento PII." Lo standard è "lo strumento utilizzato ha raggiunto una protezione adeguata per i dati personali elaborati."
Per le organizzazioni che elaborano dati multilingue dell'UE, "appropriato" significa che gli Steuer-ID dei clienti tedeschi vengono rilevati e rimossi nella stessa operazione che rimuove gli indirizzi email in inglese e i numeri di telefono statunitensi. Un'organizzazione che raggiunge il 95% di rimozione dei PII per i dati in lingua inglese e il 0% di rimozione dei PII per gli identificatori nazionali tedeschi non ha implementato misure tecniche appropriate per i propri dati tedeschi.
L'investimento nella conformità in capacità multilingue non è facoltativo per le organizzazioni con esposizione ai dati multilingue dell'UE. È un componente delle misure tecniche richieste dal GDPR.
Per le organizzazioni multinazionali che valutano se il loro strumento attuale soddisfa lo standard: il test non è "può lo strumento rilevare indirizzi email in qualsiasi lingua?" È "può lo strumento rilevare i formati degli identificatori nazionali presenti nei nostri dati effettivi?" Per le operazioni nell'UE con dipendenti, clienti o pazienti provenienti da Germania, Francia, Polonia, Svezia o qualsiasi altro Stato membro dell'UE, quel test richiede una copertura del riconoscitore specifica per la giurisdizione.
Fonti: