Il Problema dei Tre Regolamenti
Un marketplace globale con sede nel Regno Unito che elabora documenti di verifica dei venditori provenienti da 80 paesi affronta tre quadri normativi simultanei: GDPR per i venditori con sede nell'UE, LGPD (Lei Geral de Proteção de Dados) per i venditori brasiliani e il Digital Personal Data Protection Act (DPDP) dell'India per i venditori indiani. Ogni quadro designa identificatori nazionali diversi come dati personali protetti che richiedono un trattamento specifico.
CPF brasiliano (Cadastro de Pessoas Fisicas): Il numero di identificazione fiscale individuale di 11 cifre con formato XXX.XXX.XXX-XX. Le ultime due cifre sono cifre di controllo derivate da un algoritmo di aritmetica modulare specifico. La LGPD brasiliana tratta il CPF come un identificatore unico per le persone fisiche — equivalente al SSN in termini di sensibilità. Uno strumento che non conosce il formato CPF e l'algoritmo di controllo non può rilevarlo.
Aadhaar indiano: Il numero di identità biometrico di 12 cifre rilasciato dall'Unique Identification Authority of India. A differenza del CPF e del SSN, i numeri Aadhaar sono assegnati casualmente con una cifra di controllo dell'algoritmo di Verhoeff. Il DPDP Act dell'India impone obblighi alle organizzazioni che elaborano dati collegati all'Aadhaar. La rilevazione richiede il riconoscimento del formato (12 cifre consecutive con controllo di Verhoeff) e la soppressione consapevole del contesto (non ogni numero di 12 cifre è un Aadhaar).
SSN degli Stati Uniti: Il numero di previdenza sociale di 9 cifre con vincoli documentati sul numero di area (prime 3 cifre), struttura del numero di gruppo (2 cifre centrali) e intervallo del numero seriale (ultime 4 cifre). Gli algoritmi di convalida sono stabiliti e ben documentati.
Questi tre identificatori hanno formati diversi, algoritmi di convalida diversi e contesti normativi diversi. Un sistema di conformità che elabora documenti provenienti da Brasile, India e Stati Uniti simultaneamente non può fare affidamento su alcuno strumento costruito per il formato di un solo paese.
Il Gap Multi-Regolatorio nella Pratica
Il divario tra la rilevazione del SSN e la copertura globale è più ampio di quanto la maggior parte dei team di conformità realizzi. Le organizzazioni che verificano "il nostro strumento PII sta funzionando" testandolo su dati statunitensi non scoprono mai che fallisce su formati non statunitensi fino a quando un evento normativo non mette in luce il fallimento.
L'Articolo 28 del GDPR richiede un Accordo di Trattamento dei Dati scritto con ogni responsabile del trattamento dei dati. La DPIA per lo strumento di anonimizzazione deve affrontare se lo strumento copre tutti i formati di identificatori presenti nei dati trattati. Una DPIA che elenca "rilevazione SSN" come il principale controllo PII per un dataset contenente venditori brasiliani con numeri CPF contiene un gap di conformità documentato — uno che può essere identificato in un audit normativo.
La combinazione della multa massima del 4% del fatturato globale annuale del GDPR, delle disposizioni equivalenti della LGPD e dell'emergente enforcement del DPDP crea un rischio normativo crescente per le organizzazioni globali che si affidano a strumenti di rilevazione PII di un solo paese.
Fonti: