Conformidade global de PII: três leis, três formatos de identificador
Um marketplace britânico processa documentos de vendedores de 80 países. Três leis se aplicam ao mesmo tempo: o RGPD para vendedores da UE, a LGPD para vendedores brasileiros e a Lei DPDP da Índia para vendedores indianos. Cada lei designa identificadores nacionais diferentes como protegidos. Cada formato tem sua própria lógica de verificação.
CPF brasileiro: formato e status na LGPD
O CPF (Cadastro de Pessoas Físicas) é o número de contribuinte do Brasil. Tem 11 dígitos no formato XXX.XXX.XXX-XX. Os dois últimos dígitos são dígitos verificadores. Um algoritmo matemático aplicado aos nove primeiros os gera.
A LGPD brasileira trata o CPF como um identificador pessoal protegido, com sensibilidade semelhante ao SSN dos EUA. Uma ferramenta que não conhece o formato do CPF não consegue encontrá-lo. Uma que ignora o dígito verificador gerará falsos positivos.
Aadhaar indiano: formato e obrigações do DPDP
O Aadhaar é um número de 12 dígitos emitido pelo UIDAI da Índia. Os números são atribuídos aleatoriamente. O último dígito é um dígito verificador segundo o algoritmo de Verhoeff.
A Lei DPDP da Índia cria obrigações para qualquer entidade que processe dados vinculados ao Aadhaar. A detecção requer duas etapas. Primeiro, identificar o formato de 12 dígitos e verificar o dígito de Verhoeff. Segundo, filtrar pelo contexto. Nem toda sequência de 12 dígitos é um número Aadhaar.
SSN americano: uma estrutura conhecida
O SSN tem nove dígitos. Os três primeiros são o número de área. Os dois seguintes são o número de grupo. Os quatro últimos são o número de série. Cada segmento tem regras definidas. A validação está bem documentada.
A lacuna entre ferramentas de um único país e regras globais
Esses três identificadores não compartilham formato nem regra de verificação. Uma ferramenta criada para o mercado americano detectará SSNs de forma confiável. Pode perder completamente CPF e Aadhaar.
A maioria das equipes descobre essa lacuna apenas quando um regulador pergunta — não antes. A lacuna cria risco real sob cada lei:
- O Artigo 28 do RGPD exige um Contrato de Processamento de Dados por escrito com cada operador. Uma DPIA que lista "detecção de SSN" como controle principal — quando o conjunto de dados também contém números de CPF — tem uma lacuna documentada. Um auditor pode encontrá-la.
- As multas da LGPD podem chegar a 2% da receita brasileira, limitadas a R$50M por infração. Um CPF não detectado é uma violação direta da LGPD.
- A aplicação do DPDP ainda é nova. Equipes que registram sua cobertura de detecção agora estarão melhor posicionadas quando as primeiras decisões estabelecerem o padrão.
Três regimes de multas simultâneos criam risco cumulativo. Ferramentas de um único país deixam equipes globais expostas.
O que a cobertura completa requer
Uma ferramenta precisa do formato de cada identificador, seu algoritmo de verificação e seu contexto legal. O CPF precisa de uma soma de verificação modular. O Aadhaar precisa da verificação de Verhoeff mais filtragem de contexto. O SSN precisa das regras de área e grupo. São três problemas separados. Nenhum padrão de busca único cobre todos eles.
Veja também: lacuna de identificadores PII globais: SSN, CPF, Aadhaar, guia de aplicação LGPD Brasil ANPD e conformidade técnica da Lei DPDPA Índia.