UODO Polônia: Mais Multas RGPD que a França
Atualizado para 2026
A Polônia acima do esperado
A autoridade de proteção de dados da Polônia é o Urząd Ochrony Danych Osobowych (UODO). Ela aplicou 47 multas do RGPD em 2023. Total: €2,8 milhões. No mesmo ano, processou 8.234 reclamações. Por habitante, essa taxa de multas supera a França, a Alemanha e a maioria dos países da Europa Ocidental.
Para empresas na Polônia, isso é um risco real — não apenas burocracia.
Por que a Polônia aplica mais que o Ocidente
Cultura de reclamação. A Polônia tem 38 milhões de pessoas com forte consciência sobre direitos digitais. Grupos de privacidade apresentam grandes volumes de reclamações. A autoridade trata milhares de casos por ano.
Exposição do setor BPO. A Polônia é um dos principais centros de terceirização da UE. Centros de atendimento poloneses processam dados para clientes na Alemanha, França, Reino Unido e Países Baixos. Cada fluxo de dados cria dois riscos: ação da autoridade polonesa e ação da autoridade líder dos cidadãos afetados.
Violações de dados de saúde. As notificações de dados de saúde aumentaram 45% em 2024. Dados de saúde são dados de categoria especial pelo Artigo 9 do RGPD. Isso implica maior risco de multa para processadores de saúde.
Registros ausentes. 34% das empresas polonesas não têm um Registro de Atividades de Tratamento (RAT) documentado. Os auditores procuram isso primeiro. Um RAT ausente leva a uma revisão mais aprofundada.
O Problema do PESEL
O PESEL é o número de identificação nacional polonês de 11 dígitos. Os dígitos 1 a 6 codificam a data de nascimento. Os dígitos 7 a 10 são um número de sequência. O último dígito é um dígito de controle. Ele usa uma fórmula ponderada do Ministério polonês de Assuntos Digitais.
Ferramentas PII genéricas falham com o PESEL de duas formas.
Falha de padrão. A maioria das ferramentas conhece formatos americanos ou britânicos. Um número de seguridade social americano tem 9 dígitos. Um NI britânico é alfanumérico. O formato de 11 dígitos do PESEL não está nos dados de treinamento. Elas o perdem.
Falha de validação. Mesmo quando uma ferramenta encontra 11 dígitos, não consegue confirmar o dígito de controle. Isso cria falsos positivos e falsos negativos. PESELs reais com dígitos trocados passam despercebidos.
O PESEL aparece em quase todo documento polonês: prontuários, fichas de emprego, formulários fiscais e apólices de seguro. Não detectá-lo deixa o identificador mais importante exposto.
89% das ferramentas PII testadas em documentos poloneses não detectam o PESEL corretamente.
Outros Identificadores Poloneses que as Ferramentas Perdem
NIP (Numer Identyfikacji Podatkowej). Identificação fiscal de 10 dígitos com soma de verificação ponderada. Encontrado em faturas, contratos e registros de trabalho.
REGON. Número empresarial de 9 ou 14 dígitos para todas as empresas polonesas. Aparece em documentos de fornecedores e compradores.
Dowód osobisty. Carteira de identidade polonesa no formato XXX NNNNNN — três letras e seis dígitos — com sua própria regra de dígito de controle. Necessária para verificações de identidade em bancos, saúde e órgãos governamentais.
Os três apresentam lacunas de detecção semelhantes ao PESEL.
Prioridades de Aplicação 2024–2025
Dados de saúde. Relatórios de violação de prestadores de saúde aumentaram 45% em 2024. Auditorias proativas estão em andamento. Constatações frequentes: controles de acesso fracos, sem criptografia e Avaliações de Impacto de Proteção de Dados (AIPD) ausentes.
Monitoramento de funcionários. O trabalho remoto levou muitas empresas a adicionar registros de teclas e captura de tela. A maioria viola as regras de limitação de finalidade do RGPD. Casos de dados de funcionários representam 28% das ações de aplicação.
Cadeias de subprocessadores. O setor de terceirização polonês usa redes complexas de fornecedores. Auditorias encontram Acordos de Processamento de Dados (APD) ausentes entre processadores principais e subprocessadores. As ferramentas dos subprocessadores também devem atender ao Artigo 32 do RGPD.
Medidas Técnicas que Passam na Auditoria
As decisões de aplicação apontam três controles obrigatórios.
Criptografia. Todos os dados pessoais devem ser criptografados em repouso e em trânsito. Controles de acesso sozinhos não são suficientes. Empresas que dependiam apenas de regras de acesso foram multadas.
Anonimização documentada. Empresas que afirmam que dados são anônimos devem comprovar isso. A autoridade exige evidências técnicas de que a reidentificação não é viável.
Cobertura de detecção PII. As salvaguardas devem cobrir identificadores poloneses. PESEL com validação de soma de verificação, NIP, REGON e dowód osobisty devem ser detectáveis. Ferramentas treinadas em inglês não atendem a esse padrão.
O setor BPO polonês processa 2,3 milhões de registros de clientes europeus por dia. Empresas sem detecção PII específica para o polonês carregam alto risco de multa — da autoridade nacional e das autoridades líderes em toda a UE.
Nosso guia de conformidade com o RGPD cobre as necessidades de documentação. Nossa visão geral de conformidade de segurança explica os controles técnicos. Para detecção PII multilíngue, consulte nosso guia de detecção PII multilíngue.