A Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) da Romênia está supervisionando uma transformação de conformidade em um dos setores de tecnologia e terceirização que mais cresce na UE. Bucareste, Cluj-Napoca e Iași processam dados de cidadãos da UE da Alemanha, França, Reino Unido e Países Baixos em grande escala — e a aplicação da ANSPDCP está aumentando rapidamente.
A ANSPDCP emitiu €1,8 milhão em multas de GDPR entre 2022 e 2024, com o setor de BPO/terceirização representando a maior concentração de casos de aplicação.
O Perfil de Exposição ao GDPR do BPO Romeno
Processamento de dados pessoais em grande volume: Centros de atendimento que processam disputas de cobrança lidam com nomes, endereços, números de contas, histórico de pagamentos e dados de uso de serviços. Serviços de suporte de TI acessam configurações de sistema de clientes que contêm dados pessoais.
Dados de cidadãos da UE em mãos romenas: Os titulares de dados são principalmente cidadãos alemães, franceses, holandeses ou britânicos. Quando as coisas dão errado, os titulares de dados afetados escalam para sua DPA de origem — criando exposição de aplicação transfronteiriça de BfDI, CNIL, ICO ou AP NL, além da jurisdição da ANSPDCP.
Complexidade da cadeia de subprocessadores: A ANSPDCP descobriu que 45% das empresas romenas não possuem Acordos de Processamento de Dados adequados com seus subprocessadores. Os DPAs devem especificar as medidas técnicas que o subprocessador implementará.
Falhas na revogação de acesso: Os setores de BPO têm alta rotatividade de funcionários. A ANSPDCP encontra repetidamente que ex-funcionários mantêm credenciais ativas semanas após a saída — uma violação recorrente em casos de aplicação romenos.
O CNP: O Principal Identificador de PII da Romênia
O Cod Numeric Personal (CNP) é um número de identificação nacional de 13 dígitos que codifica:
- Dígito 1: Gênero e século (1=masculino 1900-1999, 2=feminino 1900-1999, 5=masculino 2000+, 6=feminino 2000+, 7=masculino residente estrangeiro, 8=feminino residente estrangeiro)
- Dígitos 2-7: Data de nascimento (YYMMDD)
- Dígitos 8-9: Código do condado de nascimento
- Dígitos 10-12: Número sequencial
- Dígito 13: Dígito de verificação (módulo 11 ponderado)
O CNP codifica gênero, data de nascimento, região de nascimento e status de cidadania — tornando-o muito mais rico em informações pessoais do que a maioria dos identificadores da Europa Ocidental. A ANSPDCP classificou o CNP como exigindo proteção elevada, aproximando-se do status de categoria especial.
O problema da detecção: A revisão de aplicação da ANSPDCP de 2024 descobriu que 78% das ferramentas de PII implantadas na terceirização romena falham em detectar o CNP com validação de checksum adequada. As consequências:
- Números de CNP em registros de clientes, arquivos de funcionários e cópias de escaneamento de ID passam despercebidos
- Dados compartilhados com empresas-mãe da Europa Ocidental para análises ou treinamento de IA contêm cidadãos romenos identificáveis
- A análise pós-vazamento revela exposição de CNP em dados certificados como "anonimizados"
Prioridades de Aplicação da ANSPDCP para 2024-2025
Gravação de áudio de call center: A ANSPDCP tem como alvo práticas de gravação que carecem de cronogramas de retenção adequados ou controles de acesso. Gravações retidas "indefinidamente para conformidade" sem propósito documentado e cronogramas de exclusão violam o GDPR.
Terceirização de dados de saúde: Empresas romenas que processam registros médicos, reivindicações de seguros ou dados de prescrições para clientes da Europa Ocidental enfrentam a maior exposição a multas. Dados de saúde (categoria especial do Artigo 9) exigem base legal explícita, DPIA e medidas técnicas elevadas.
Controle de acesso e registro: Auditorias da ANSPDCP consistentemente identificam registros inadequados — as organizações não conseguem demonstrar quais dados foram acessados, por quem e quando. Para empresas de BPO romenas que lidam com dados de clientes da UE, os registros de acesso devem ser abrangentes o suficiente para determinar o escopo da violação em caso de incidente.
Língua Romena: A Camada Faltante
Além do CNP, documentos romenos contêm identificadores que ferramentas genéricas perdem:
Cartea de identitate (CI): Cartão de identidade nacional romeno com formato de número único. Cópias escaneadas em arquivos de integração de clientes requerem detecção.
NER em língua romena: Correspondência de clientes, tickets de suporte e documentos internos em romeno requerem processamento de linguagem natural em língua romena. Ferramentas que dependem de NLP em inglês aplicadas a texto romeno apresentam desempenho significativamente inferior.
Formatos de endereço: Convenções de endereço romenas ("Strada," "Bulevardul," "Numărul") diferem dos formatos da Europa Ocidental e muitas vezes são mal interpretadas por modelos de NLP treinados em inglês ou alemão.
Para organizações de terceirização romenas: Detecção de CNP com validação de checksum, detecção de ID nacional e passaporte romeno, NER em língua romena e gestão documentada de subprocessadores são as quatro capacidades que satisfazem o padrão de adequação técnica da ANSPDCP.
Fontes: