O Problema dos Três Regulamentos
Um marketplace global baseado no Reino Unido que processa documentos de verificação de vendedores de 80 países enfrenta três estruturas regulatórias simultâneas: GDPR para vendedores baseados na UE, LGPD (Lei Geral de Proteção de Dados) para vendedores brasileiros e a Lei de Proteção de Dados Pessoais Digitais da Índia (DPDP) para vendedores indianos. Cada estrutura designa diferentes identificadores nacionais como dados pessoais protegidos que requerem manuseio específico.
CPF Brasileiro (Cadastro de Pessoas Físicas): O número de identificação do contribuinte individual de 11 dígitos com o formato XXX.XXX.XXX-XX. Os últimos dois dígitos são dígitos de verificação derivados de um algoritmo específico de aritmética modular. A LGPD brasileira trata o CPF como um identificador único para pessoas naturais — equivalente ao SSN em termos de sensibilidade. Uma ferramenta que não conhece o formato do CPF e o algoritmo de verificação não pode detectá-lo.
Aadhaar Indiano: O número de identidade biométrica de 12 dígitos emitido pela Autoridade de Identificação Única da Índia. Ao contrário do CPF e do SSN, os números Aadhaar são atribuídos aleatoriamente com um dígito de verificação do algoritmo Verhoeff. A Lei DPDP da Índia impõe obrigações às organizações que processam dados vinculados ao Aadhaar. A detecção requer reconhecimento de formato (12 dígitos consecutivos com verificação Verhoeff) e supressão consciente do contexto (nem todo número de 12 dígitos é um Aadhaar).
SSN dos EUA: O Número de Seguro Social de 9 dígitos com restrições documentadas de número de área (primeiros 3 dígitos), estrutura de número de grupo (2 dígitos do meio) e faixa de número de série (últimos 4 dígitos). Os algoritmos de validação são estabelecidos e bem documentados.
Esses três identificadores têm formatos diferentes, algoritmos de validação diferentes e contextos regulatórios diferentes. Um sistema de conformidade que processa documentos do Brasil, Índia e EUA simultaneamente não pode depender de nenhuma ferramenta única construída para o formato de um país.
A Lacuna Multi-Regulatória na Prática
A lacuna entre a detecção de SSN e a cobertura global é maior do que a maioria das equipes de conformidade percebe. Organizações que verificam "nossa ferramenta de PII está funcionando" testando-a contra dados dos EUA nunca descobrem que ela falha em formatos não americanos até que um evento regulatório revele a falha.
O Artigo 28 do GDPR exige um Acordo de Processamento de Dados por escrito com cada processador de dados. A DPIA para a ferramenta de anonimização deve abordar se a ferramenta cobre todos os formatos de identificadores presentes nos dados sendo processados. Uma DPIA que lista "detecção de SSN" como o controle principal de PII para um conjunto de dados contendo vendedores brasileiros com números de CPF contém uma lacuna de conformidade documentada — uma que pode ser identificada em uma auditoria regulatória.
A combinação da multa máxima de 4% da receita global anual do GDPR, as disposições equivalentes da LGPD e a aplicação emergente da DPDP cria um risco regulatório acumulado para organizações globais que dependem de ferramentas de detecção de PII de um único país.
Fontes: