anonym.legal
Torna al BlogGDPR e Conformità

Uno strumento, 45 paesi: perché oltre 260 tipi di...

Il CPF brasiliano ha cifre di controllo. Il PAN indiano è alfanumerico di 10 caratteri. Gli IBAN dell'UE variano per paese.

March 25, 20267 min di lettura
global PII compliance260 entity typesBrazilian CPFIndian PANIBAN formats

Il problema della frammentazione degli identificatori globali

Una piattaforma di marketplace con venditori in 45 paesi elabora documenti di onboarding che sembrano completamente diversi a seconda del paese di origine del venditore. Un venditore brasiliano presenta un CPF (Cadastro de Pessoas Físicas) — un codice fiscale di 11 cifre con due cifre di controllo calcolate utilizzando un algoritmo di ponderazione specifico. Un venditore indiano fornisce un PAN (Permanent Account Number) — un formato alfanumerico di 10 caratteri che combina lettere e cifre in un modello posizionale specifico. Un venditore tedesco fornisce un Steuer-ID (11 cifre con checksum di Luhn). Un venditore olandese fornisce un BSN (Burger Service Nummer, 9 cifre con validazione mod-11).

Ogni formato ha lunghezza, struttura e algoritmo di validazione diversi. Un singolo regex progettato per un formato non corrisponde agli altri. Un modello generico di "stringa numerica di 10-12 cifre" produce tassi di falsi positivi proibitivi in documenti finanziari contenenti prezzi, quantità, date e numeri di riferimento.

L'obbligo di conformità non differenzia per paese. Il GDPR copre i dati dei venditori dell'UE. La LGPD copre i dati del venditore brasiliano. Il DPDP Act copre i dati del venditore indiano. Ogni quadro normativo richiede una protezione adeguata dei dati personali coperti da quel quadro — e "adeguato" significa che l'identificatore è stato rilevato e protetto, non solo che è stato fatto un tentativo di rilevamento.

Il divario dei 40 identificatori

La maggior parte degli strumenti di rilevamento PII per le imprese viene fornita con riconoscitori per circa 40 tipi di identificatori comuni. Questi includono tipicamente:

  • Numero di previdenza sociale degli Stati Uniti
  • Formato del passaporto degli Stati Uniti
  • Patente di guida degli Stati Uniti (specifica per stato)
  • Formati generici di carte di credito (validazione di Luhn)
  • Indirizzi email
  • Numeri di telefono (formato NANP)
  • Indirizzi IP

Gli strumenti a questo livello di copertura soddisfano ragionevolmente bene i requisiti di conformità del Nord America anglofono. Non coprono il panorama degli identificatori delle organizzazioni che operano a livello globale.

Il divario tra 40 identificatori e conformità globale è sostanziale:

Identificatori sudamericani: CPF brasiliano (individuale) e CNPJ (aziendale) richiedono una validazione del checksum specifica per il formato dell'autorità fiscale del Brasile. Il CUIT argentino segue un algoritmo di somma ponderata diverso. Il NIT colombiano utilizza un altro metodo di validazione.

Identificatori asiatici: PAN indiano, Aadhaar (ID biometrico di 12 cifre), GSTIN indiano (identificazione GST) e Voter ID hanno ciascuno formati distinti. Il My Number giapponese (ID nazionale di 12 cifre), il numero di registrazione dei residenti sudcoreani e l'ID nazionale cinese (18 caratteri con cifra di controllo) richiedono tutti riconoscitori separati.

Identificatori dell'UE: Oltre ai formati comunemente riconosciuti, una copertura completa dell'UE richiede formati IBAN per tutti i 27 stati membri dell'UE (ognuno con lunghezza e formato specifici per paese), oltre ai formati di ID nazionale per ciascuno stato membro (Steuer-ID tedesca, NIR francese, BSN olandese, PESEL polacco, Personnummer svedese e altro).

Cosa coprono effettivamente oltre 260 tipi di entità

Una libreria di entità completa con oltre 260 tipi copre:

  • Tutti i 27 identificatori nazionali degli stati membri dell'UE (inclusi quelli meno coperti: EMŠO sloveno, OIB croato, EGN bulgaro, CNP romeno)
  • Tutti i formati IBAN dell'UE (27 formati specifici per paese con validazione)
  • Principali identificatori sudamericani (CPF/CNPJ brasiliano, CUIT argentino, NIT colombiano)
  • Principali identificatori asiatici (PAN/Aadhaar/GSTIN indiano, My Number giapponese, RRN coreano)
  • Identificatori specifici per il Regno Unito post-Brexit (UK NI Number, NHS Number, varianti NINO)
  • Identificatori medici attraverso le giurisdizioni (NPI statunitensi, numeri DEA, numeri NHS, formati MRN ospedalieri)
  • Identificatori finanziari (codici SWIFT, formati BIC, vari modelli di numeri di conto)

Per un marketplace con sede a Londra che serve venditori di 45 paesi, la copertura di oltre 260 entità significa che un'unica implementazione gestisce l'identificazione e la protezione dei dati personali dei venditori in tutte le giurisdizioni — senza richiedere strumenti regionali separati, pipeline di elaborazione separate o arricchimento manuale per i tipi di identificatori nazionali che uno strumento con 40 riconoscitori perde.

La postura di conformità cambia da "proteggiamo identificatori comuni" a "proteggiamo gli identificatori presenti nei nostri dati effettivi." Per le operazioni globali, quella distinzione è la differenza tra conformità parziale e protezione genuina.

Fonti:

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità