A Autoridade Grega de Proteção de Dados (HDPA) emitiu 89 decisões de aplicação em 2024, um aumento de 162% em relação a 34 decisões em 2022. A aceleração acentuada na aplicação reflete tanto a crescente capacidade da HDPA quanto as falhas de conformidade específicas do setor no turismo — que representa 38% dos casos da HDPA — e nas operações marítimas.
AFM: O Principal Identificador Comercial da Grécia
O ΑΦΜ (Αριθμός Φορολογικού Μητρώου, Número de Registro Fiscal) é um número de 9 dígitos atribuído a todos os cidadãos, residentes e empresas gregas para administração fiscal. O dígito de verificação utiliza um algoritmo de soma ponderada: multiplique os dígitos 1-8 pelos pesos (256,128,64,32,16,8,4,2), some, e faça o módulo 11. Se o resultado = 10, o número é inválido. Caso contrário, o dígito de verificação = resultado módulo 10.
O AFM aparece em todos os documentos comerciais gregos — faturas, contratos, acordos de emprego e formulários governamentais. É o principal identificador comercial tanto para indivíduos quanto para empresas na Grécia.
Precisão de detecção: Ferramentas genéricas de PNL detectam o AFM com 52% de precisão (análise da HDPA 2024). Os modos de falha:
- O formato de 9 dígitos do AFM corresponde a muitos números de referência e componentes de data em documentos gregos
- O dígito de verificação de dois passos módulo-11/módulo-10 não é comumente implementado em ferramentas genéricas
- Documentos gregos frequentemente apresentam o AFM sem rótulo explícito no contexto (embutido em blocos de endereço, não rotulado como "ΑΦΜ:")
AMKA: O Identificador de Seguro Social da Grécia
O ΑΜΚΑ (Αριθμός Μητρώου Κοινωνικής Ασφάλισης, Número de Registro de Seguro Social) é um número de 11 dígitos que codifica a data de nascimento e o gênero:
- Dígitos 1-6: Data de nascimento no formato DDMMYY
- Dígito 7: Gênero (ímpar = masculino, par = feminino)
- Dígitos 8-11: Número sequencial com dígito de verificação
A codificação de data de nascimento + gênero torna o AMKA estruturalmente semelhante ao personnummer da Suécia — e cria a mesma preocupação de categoria especial do GDPR: o número revela o sexo biológico como um fato registrado.
O AMKA aparece em todos os documentos de saúde gregos, arquivos de seguridade social e registros de empregadores. Cada cidadão grego e residente legal possui um AMKA, tornando-o equivalente a um número de seguridade social para acesso a cuidados de saúde e benefícios sociais.
Alfabeto Grego: O Desafio da Infraestrutura de PNL
O texto grego utiliza o alfabeto grego — um sistema de escrita totalmente diferente das línguas de alfabeto latino. Isso cria um desafio fundamental de infraestrutura para a detecção de PII:
Faixas Unicode: Caracteres gregos ocupam a faixa Unicode U+0370 a U+03FF (bloco grego e copta) e U+1F00 a U+1FFF (grego estendido para formas polifônicas). Ferramentas que lidam apenas com caracteres ASCII ou latinos falham em processar texto grego.
Modelos de NER grego: O modelo el_core_news do spaCy fornece capacidade de NER grego — mas requer configuração explícita da língua grega. Organizações que utilizam configurações de língua padrão (tipicamente inglês) não receberão saída para documentos em script grego.
Documentos de script misto: Documentos comerciais e governamentais gregos frequentemente misturam script grego (conteúdo principal) com script latino (nomes de marcas, termos técnicos, anotações em inglês). Pipelines de PNL devem lidar com ambos os scripts no mesmo documento.
Reconhecimento de nomes em grego: Nomes gregos aparecem no caso nominativo (Γεώργιος Παπαδόπουλος) mas também em formas genitiva/acusativa em frases gregas (Γεωργίου Παπαδόπουλου em genitivo). O reconhecimento de NER sensível a casos requer análise morfológica grega.
Setor de Turismo: Conformidade no Processamento de Dados Sazonais
O turismo representa 38% dos casos de aplicação da HDPA. O desafio de conformidade é a escala e a sazonalidade:
Sistemas PMS de hotéis: Sistemas de gerenciamento de propriedades processam informações completas dos hóspedes — números de passaporte, nacionalidade, datas de nascimento, dados de contato — para todos os hóspedes. A aplicação da HDPA encontrou muitos sistemas PMS de hotéis retendo dados de hóspedes por mais de 5 anos sem propósito documentado e sem medidas de segurança proporcionais ao volume de dados.
Dados de IBAN e pagamento: Empresas de turismo gregas processam dados de pagamento de hóspedes da UE e internacionais. Folhas de hóspedes (contas de hotel) contêm números de cartão parciais; sistemas de reserva contêm detalhes completos de pagamento com datas de validade. A conformidade com PCI DSS se sobrepõe aos requisitos do GDPR para dados de pagamento.
Rotatividade de dados de funcionários: Trabalhadores sazonais na hospitalidade normalmente completam contratos de 4-6 meses. A aplicação da HDPA encontrou falhas repetidas em revogar o acesso ao sistema para funcionários sazonais que partiram — um padrão comum em qualquer setor com alta rotatividade de funcionários.
Para conformidade da HDPA em contextos de língua grega: detecção de AFM e AMKA com validação de checksum, suporte a NER do alfabeto grego (spaCy el_core_news) e detecção de passaporte/número de identificação nacional grega são os requisitos técnicos. Para conformidade especificamente no setor de turismo, a documentação de retenção de dados do PMS de hotéis e os procedimentos de revogação de acesso para funcionários sazonais são os requisitos organizacionais adicionais que a aplicação da HDPA deixa claro.
Fontes: