anonym.legal

By · Last updated 2026-05-18

Voltar ao BlogGDPR & Conformidade

IMY Suécia: Personnummer, Samordningsnummer e o...

A IMY encontrou que 45% das ferramentas genéricas não detectam personnummer suecos.

May 18, 20267 min de leitura
Sweden IMYpersonnummer LuhnsamordningsnummerSwedish GDPR technicalNordic compliance

A avaliação técnica da Integritetsskyddsmyndigheten (IMY) da Suécia sobre ferramentas de PII implantadas encontrou uma taxa de falha de 45% na detecção de personnummer — o principal identificador nacional da Suécia. Dado que 79% dos titulares de dados suecos exercem direitos de GDPR anualmente (a maior taxa da UE), a precisão na detecção automatizada de PII afeta diretamente a capacidade de conformidade operacional.

Personnummer: Validação Luhn e a Lacuna do Samordningsnummer

O formato do personnummer sueco (número de identidade pessoal): YYMMDD-XXXX (10 caracteres) ou YYYYMMDD-XXXX (12 caracteres). O último dígito é validado usando o algoritmo de Luhn.

Algoritmo de Luhn: Dobre cada segundo dígito da direita para a esquerda. Se o dobro produzir um número de dois dígitos, some os dígitos. Some todos os dígitos. O resultado deve ser divisível por 10.

O algoritmo de Luhn é compartilhado com números de cartões de crédito e SIN (Número de Seguro Social Canadense). No entanto, o componente de data do personnummer (YYMMDD) cria restrições de validação específicas que diferem da validação Luhn de contas financeiras.

O problema do samordningsnummer: O número de coordenação da Suécia para residentes estrangeiros que precisam de identificação antes de receber um personnummer usa o mesmo formato — mas adiciona 60 aos dígitos do dia de nascimento:

  • Personnummer nascido em 15 de janeiro: YYMMDD = YY0115
  • Samordningsnummer para a mesma data de nascimento: YYMMDD = YY0175 (15 + 60 = 75)

Isso significa que o samordningsnummer usa valores de dia de nascimento de 61-91 (em vez de 01-31 para personnummer). Implementações que validam personnummer verificando o dia de nascimento contra 01-31 rejeitarão samordningsnummer válidos — e perderão a identificação dos números de coordenação de residentes estrangeiros em documentos de emprego suecos.

A população nascida no exterior da Suécia representa aproximadamente 20% da população total. Para empregadores, prestadores de serviços de saúde e serviços financeiros que lidam com dados de residentes estrangeiros, a lacuna do samordningsnummer significa que uma parte significativa do identificador principal de sua população permanece indetectada.

Requisitos Práticos de Anonimização da IMY

O guia de anonimização da IMY (2023) — a orientação técnica mais detalhada da UE sobre anonimização, referenciada por 12 outras DPAs — estabelece esses requisitos para organizações que processam dados pessoais suecos:

k-anonimidade ≥ 5: Conjuntos de dados liberados para pesquisa, análises ou uso secundário devem atingir pelo menos k=5 (cada indivíduo indistinguível de 4 outros em todos os atributos quasi-identificadores). Quasi-identificadores em conjuntos de dados suecos geralmente incluem idade, gênero, município e profissão — combinações desses reduzem rapidamente para pequenos grupos, dada a população relativamente pequena da Suécia.

l-diversidade para dados de saúde: Para conjuntos de dados contendo informações de saúde ou financeiras, a l-diversidade deve ser demonstrada além da k-anonimidade — prevenindo ataques de inferência que a k-anonimidade sozinha não bloqueia.

Verificação formal: Ao contrário de muitos guias de DPA da UE, a IMY afirma explicitamente que as alegações de anonimização devem ser verificáveis — a organização deve ser capaz de demonstrar por meio de documentação técnica que os limites de k-anonimidade e l-diversidade são atendidos, não apenas afirmar conformidade.

A Taxa de Exercício de Direitos de 79%: Implicações Operacionais

A extraordinariamente alta taxa de exercício de direitos de GDPR da Suécia (79% anualmente — pesquisa IMY 2024) cria demandas operacionais que as organizações que processam dados pessoais suecos devem antecipar:

Direito de acesso: Os titulares de dados suecos solicitam regularmente cópias completas de todos os dados pessoais mantidos sobre eles. Para uma empresa com 50.000 clientes suecos, isso significa aproximadamente 39.500 solicitações de acesso por ano — cada uma exigindo uma resposta dentro de 30 dias.

Direito à exclusão: Os titulares de dados suecos frequentemente exercem o direito à exclusão após o fechamento da conta ou a rescisão do serviço. As organizações devem ser capazes de executar a exclusão completa em todos os sistemas — não apenas no banco de dados principal, mas também em backups, plataformas de análise e conjuntos de dados de treinamento de IA.

Infraestrutura de resposta automatizada: Com uma taxa de exercício de 79%, o processamento manual de solicitações de direitos não é viável operacionalmente. Organizações com bases de usuários suecas precisam de sistemas automatizados de inventário e recuperação de dados pessoais capazes de responder a solicitações de direitos em grande escala.

A detecção de PII que identifica corretamente personnummer (com validação Luhn), samordningsnummer (com tratamento de dia de 60-offset) e NER em sueco permite o inventário automatizado de dados pessoais que a cultura de exercício de direitos da Suécia exige operacionalmente.

Fontes:

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.