Conformità PII globale: tre leggi, tre formati di ID
Un marketplace britannico gestisce documenti di venditori provenienti da 80 paesi. Tre normative si applicano contemporaneamente: il GDPR per i venditori UE, la LGPD per quelli brasiliani e il DPDP Act indiano per quelli indiani. Ogni legge designa come protetti diversi ID nazionali. Ogni formato ha la propria logica di controllo.
CPF brasiliano: formato e status LGPD
Il CPF (Cadastro de Pessoas Físicas) è il codice fiscale brasiliano. Ha 11 cifre nel formato XXX.XXX.XXX-XX. Le ultime due cifre sono cifre di controllo, prodotte da un algoritmo matematico applicato alle prime nove.
La LGPD brasiliana tratta il CPF come un identificatore personale protetto, con una sensibilità simile al SSN americano. Uno strumento che non conosce il formato CPF non può trovarlo. Uno che salta il checksum produrrà falsi positivi.
Aadhaar indiano: formato e regole DPDP
L'Aadhaar è un numero a 12 cifre emesso dall'UIDAI indiano. I numeri sono assegnati casualmente. L'ultima cifra è una cifra di controllo Verhoeff.
Il DPDP Act indiano crea obblighi per chiunque gestisca dati collegati all'Aadhaar. Il rilevamento richiede due passaggi. Prima, abbinare il formato a 12 cifre e verificare la cifra Verhoeff. Poi, filtrare per contesto: non ogni stringa di 12 cifre è un Aadhaar.
SSN americano: una struttura ben nota
Il SSN ha nove cifre. Le prime tre sono il codice area. Le successive due sono il codice di gruppo. Le ultime quattro sono il numero seriale. Ogni segmento ha regole precise. La validazione è ben documentata.
Il divario tra gli strumenti nazionali e le regole globali
Questi tre identificatori non condividono né il formato né la regola di controllo. Uno strumento progettato per l'uso negli Stati Uniti individuerà i SSN. Potrebbe ignorare del tutto CPF e Aadhaar.
La maggior parte dei team scopre questo gap quando lo chiede un'autorità di regolamentazione — non prima. Il gap crea un rischio reale ai sensi di ciascuna legge:
- GDPR Articolo 28 richiede un Accordo di Trattamento dei Dati scritto con ciascun responsabile del trattamento. Una DPIA che indica come controllo principale "rilevamento SSN" — quando il dataset contiene anche numeri CPF — presenta una lacuna documentata che un revisore può individuare.
- LGPD: le sanzioni possono raggiungere il 2% del fatturato brasiliano, fino a R$50M per violazione. Un CPF non rilevato è una violazione LGPD diretta.
- DPDP: l'enforcement è ancora in fase iniziale. I team che documentano oggi la propria copertura saranno meglio posizionati quando le prime pronunce stabiliranno gli standard.
Tre regimi sanzionatori simultanei creano un rischio stratificato. Gli strumenti a singolo paese lasciano esposti i team globali.
Cosa richiede una copertura completa
Uno strumento ha bisogno del formato, dell'algoritmo di controllo e del contesto legale di ciascun identificatore. Il CPF richiede un checksum modulare. L'Aadhaar richiede il controllo Verhoeff più il filtraggio contestuale. Il SSN richiede le regole su area e gruppo. Sono tre problemi separati. Nessun singolo pattern di ricerca li copre tutti.
Vedi anche: il gap degli identificatori PII globali: SSN, CPF, Aadhaar, guida all'enforcement LGPD in Brasile e conformità tecnica alla legge sulla privacy DPDPA in India.