Problem trzech regulacji
Globalny rynek oparty w Wielkiej Brytanii, przetwarzający dokumenty weryfikacyjne sprzedawców z 80 krajów, stoi przed trzema równoczesnymi ramami regulacyjnymi: GDPR dla sprzedawców z UE, LGPD (Lei Geral de Proteção de Dados) dla sprzedawców z Brazylii oraz indyjską ustawą o ochronie danych osobowych (DPDP) dla sprzedawców z Indii. Każda z ram wyznacza różne krajowe identyfikatory jako chronione dane osobowe, które wymagają specyficznego traktowania.
Brazylijski CPF (Cadastro de Pessoas Fisicas): 11-cyfrowy numer identyfikacyjny podatnika o formacie XXX.XXX.XXX-XX. Ostatnie dwie cyfry to cyfry kontrolne pochodzące z określonego algorytmu arytmetyki modularnej. Brazylijska LGPD traktuje CPF jako unikalny identyfikator osób fizycznych — równoważny SSN pod względem wrażliwości. Narzędzie, które nie zna formatu CPF i algorytmu sumy kontrolnej, nie może go wykryć.
Indyjski Aadhaar: 12-cyfrowy numer identyfikacyjny wydawany przez Unique Identification Authority of India. W przeciwieństwie do CPF i SSN, numery Aadhaar są losowo przypisywane z cyfrą kontrolną algorytmu Verhoeff. Ustawa DPDP w Indiach nakłada obowiązki na organizacje przetwarzające dane powiązane z Aadhaar. Wykrycie wymaga rozpoznania formatu (12 kolejnych cyfr z kontrolą Verhoeff) oraz kontekstowego tłumienia (nie każdy 12-cyfrowy numer to Aadhaar).
Amerykański SSN: 9-cyfrowy numer ubezpieczenia społecznego z udokumentowanymi ograniczeniami numeru obszaru (pierwsze 3 cyfry), strukturą numeru grupy (środkowe 2 cyfry) oraz zakresem numeru seryjnego (ostatnie 4 cyfry). Algorytmy walidacji są ustalone i dobrze udokumentowane.
Te trzy identyfikatory mają różne formaty, różne algorytmy walidacji i różne konteksty regulacyjne. System zgodności przetwarzający dokumenty z Brazylii, Indii i USA jednocześnie nie może polegać na żadnym pojedynczym narzędziu stworzonym dla formatu jednego kraju.
Luka w wieloregulacyjnym podejściu w praktyce
Luka między wykrywaniem SSN a globalnym zasięgiem jest większa, niż większość zespołów ds. zgodności zdaje sobie sprawę. Organizacje, które weryfikują "nasze narzędzie PII działa" testując je na danych z USA, nigdy nie odkrywają, że nie działa na formatach spoza USA, dopóki zdarzenie regulacyjne nie ujawni tej awarii.
Artykuł 28 GDPR wymaga pisemnej umowy o przetwarzaniu danych z każdym procesorem danych. DPIA dla narzędzia anonimizującego musi określać, czy narzędzie obejmuje wszystkie formaty identyfikatorów obecnych w przetwarzanych danych. DPIA, która wymienia "wykrywanie SSN" jako główną kontrolę PII dla zbioru danych zawierającego sprzedawców z Brazylii z numerami CPF, zawiera udokumentowaną lukę w zgodności — lukę, którą można zidentyfikować w audycie regulacyjnym.
Połączenie 4% maksymalnej kary rocznej od przychodów globalnych GDPR, równoważnych przepisów LGPD oraz rosnącego egzekwowania DPDP stwarza kumulacyjne ryzyko regulacyjne dla globalnych organizacji, które polegają na narzędziach wykrywających PII z jednego kraju.
Źródła: