NAIH Hungria: Governança de IA e Regras DPA
A autoridade de proteção de dados da Hungria é a NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság. A autoridade emitiu as orientações de IA mais detalhadas de qualquer APD da Europa Central. Em 2024, emitiu 38 decisões de execução. Também publicou regras que exigem uma Avaliação de Impacto sobre a Proteção de Dados para todo sistema de IA que trate dados pessoais. Essas regras vão além da base do RGPD.
As regras de execução de IA da NAIH
A maioria das APDs da UE publica orientações gerais sobre IA. A APD húngara foi mais longe. As suas orientações de 2024 são específicas a nível operacional.
AIPD obrigatória para todos os sistemas de IA: Todo sistema de IA que trate dados pessoais precisa primeiro de uma AIPD. A autoridade exige isso antes do deployment. Aplica-se mesmo quando o tratamento não é de «alto risco» ao abrigo do artigo 35.º do RGPD. É mais rigoroso do que a abordagem baseada em riscos do RGPD.
O que uma AIPD da NAIH deve incluir:
- Uma descrição técnica das entradas e saídas de dados do modelo de IA
- Prova de que os dados de treino foram anonimizados ou tinham uma base jurídica válida
- Uma avaliação do risco de discriminação algorítmica
- Uma etapa de revisão humana para decisões automatizadas
- Um calendário de retenção e eliminação dos dados tratados por IA
Revisão anual: A autoridade exige que as AIPDs sejam atualizadas todos os anos. Aplica-se quando um sistema de IA é re-treinado ou significativamente modificado.
A Hungria tratou mais de 890.000 pedidos de exercício de direitos do RGPD em 2024. É um volume elevado para um país de 10 milhões de habitantes. Sinaliza um exercício ativo de direitos e pressão real sobre as equipas de conformidade.
A lacuna de precisão NER
A revisão técnica de 2024 da autoridade testou modelos NER em textos em húngaro. Atingiram apenas 67% de precisão. A média europeia é de 82%. Essa lacuna de 15 pontos tem custos de conformidade reais.
O húngaro é uma língua aglutinante. Forma palavras com muitos sufixos. Nomes, moradas e identificadores em húngaro são muito diferentes dos dados em inglês ou alemão. Ferramentas treinadas nessas línguas perdem uma grande parte dos dados pessoais em húngaro. Consulte o nosso guia de deteção PII multilingue para o impacto na conformidade com o RGPD.
A autoridade verificou que as ferramentas NLP genéricas perdem o TAJ-szám em 61% dos documentos. As variações de formato e a ausência de validação por soma de verificação são as principais causas.
Identificadores nacionais húngaros
As equipas que processam documentos na Hungria devem detetar estes tipos de identificadores com precisão. Consulte o nosso guia de deteção de identificadores fiscais da UE para o contexto completo da UE.
TAJ-szám (Társadalombiztosítási Azonosító Jel): Um número de segurança social de 9 dígitos. Consta em registos de saúde, prestações e pensões. A validação utiliza uma soma de verificação ponderada definida pela autoridade de segurança social húngara.
Adóazonosító jel: Um identificador fiscal pessoal de 10 dígitos. O formato é um núcleo de 8 dígitos mais 2 dígitos de controlo. Consta em folhas de salário, declarações fiscais e contratos de trabalho.
Número Személyi igazolvány: O número do bilhete de identidade nacional. O formato e as regras do dígito de controlo seguem a autoridade emissora.
Útlevél szám: O número de passaporte. O formato e o dígito de controlo também seguem as regras da autoridade emissora.
O contexto Ügyfélkapu
A Hungria gere a maioria dos serviços públicos através de uma única plataforma — Ügyfélkapu (Client Gateway). Mais de 4 milhões de cidadãos utilizam-na para impostos, prestações, saúde e licenças. Empresas privadas ligam-se ao Ügyfélkapu para processamento de salários, benefícios ou verificações de identidade. Essas empresas processam os mesmos identificadores num contexto regulado.
A autoridade verificou que essas empresas frequentemente usam ferramentas PII internacionais. A maioria dessas ferramentas não suporta os identificadores acima. Isso leva a dados em falta e a risco de conformidade direto.
Sobreposição com o AI Act da UE
A Hungria foi das primeiras a incorporar as regras do AI Act nas orientações da APD. A posição da autoridade é clara.
Os sistemas de IA de alto risco estão listados no Anexo III do AI Act. Cobrem emprego, pontuação de crédito e serviços essenciais. Requerem tanto a avaliação de conformidade do AI Act como uma AIPD da NAIH.
Os modelos de IA de uso geral que tratam dados de pessoas na Hungria também precisam de uma AIPD da NAIH. Aplica-se mesmo quando o modelo não está classificado como alto risco pelo AI Act.
Para as equipas que implementam IA na Hungria, a lista de verificação principal tem três itens. Complete uma AIPD da NAIH antes do lançamento. Verifique se a sua ferramenta NER cobre as entidades acima em textos húngaros. Confirme a deteção de TAJ-szám e adóazonosító jel com validação por soma de verificação.