Realitatea aplicării legii
Consiliul European pentru Protecția Datelor și autoritățile naționale de supraveghere evaluează conformitatea GDPR pe baza rezultatelor, nu a efortului. O organizație care a folosit un instrument de detectare PII cu bună credință, dar al cărui instrument a ratat sistematic identificatorii naționali francezi, germani și polonezi, a eșuat totuși în implementarea "măsurilor tehnice adecvate" conform articolului 32 GDPR.
Apărarea "am folosit un instrument" nu satisface standardul atunci când instrumentul nu poate detecta în mod demonstrabil tipurile de date personale prezente în datele organizației.
Acesta nu este un risc ipotetic. Autoritățile de supraveghere care investighează breșele de date și eșecurile cererilor de acces ale persoanelor vizate examinează în mod obișnuit măsurile tehnice utilizate pentru anonimizarea datelor. Atunci când examinarea relevă că un instrument era centrat pe engleza și a procesat date multilingve, cerința "măsurilor adecvate" devine întrebarea centrală de aplicare a legii.
Ce găsesc autoritățile de supraveghere
Datele de aplicare a GDPR din 2024 arată că încălcările articolului 32 (măsuri tehnice și organizatorice) reprezintă unul dintre cele mai frecvente motive pentru amenzi. Organizațiile citează instrumente de anonimizare automatizate ca parte a documentației măsurilor tehnice — și autoritățile de supraveghere examinează dacă acele instrumente funcționează efectiv pentru tipurile de date procesate.
Pentru angajatorii multinționali care procesează înregistrări de angajați în statele membre UE, expunerea este sistematică. O platformă de software HR care anonimizează datele angajaților înainte de procesarea analiticii poate elimina corect PII-ul în limba engleză, lăsând intacte numerele de securitate socială franceze (NIR), identificatorii fiscali germani (Steuer-ID), personnummers suedezi și numerele PESEL poloneze.
Organizația crede că a implementat măsuri tehnice. Autoritatea de supraveghere constată că 40% din datele personale din setul de date "anonimizat" sunt încă identificabile prin identificatori naționali pe care recunoașterea instrumentului nu i-a acoperit.
Formatele specifice de identificatori pe care instrumentele doar în limba engleză le ratează
Diferențele structurale dintre identificatorii naționali ai UE și formatele generice din SUA înseamnă că instrumentele centrate pe engleza nu le detectează în mod fiabil:
Steuer-Identifikationsnummer germană: Format de 11 cifre cu algoritm de verificare. Nu este detectat de instrumente care recunosc doar formate SSN din SUA (9 cifre).
NIR francez (numéro de sécurité sociale): Format de 15 cifre care codifică sexul, anul nașterii, departamentul și cheia de control. Nu este detectat de modele generice de numere de telefon sau numere de identificare.
Personnummer suedez: Format de 10 sau 12 cifre cu cifră de verificare Luhn. Formatul se schimbă pentru persoanele născute înainte de 1990, necesitând o conștientizare a formatelor pe care modelele generice nu o au.
PESEL polonez: Format de 11 cifre care codifică data nașterii și sexul. Fără validarea sumei de control, rata fals-pozitivă pentru detectarea PESEL este prohibitiv de mare.
Organizațiile care procesează aceste date nu sunt neobișnuite: orice angajator din UE, firmă de servicii financiare, furnizor de asistență medicală sau agență guvernamentală care procesează date de la persoane din Germania, Franța, Suedia sau Polonia întâlnesc acești identificatori în mod obișnuit.
Standardul de conformitate se bazează pe rezultate
Cerința GDPR pentru "măsuri tehnice și organizatorice adecvate" (articolul 32) se bazează pe rezultate, nu pe efort. Standardul nu este "organizația a folosit un instrument de detectare PII." Standardul este "instrumentul folosit a realizat protecție adecvată pentru datele personale procesate."
Pentru organizațiile care procesează date multilingve din UE, "adecvat" înseamnă că Steuer-ID-urile clienților germani sunt detectate și eliminate în aceeași operație care elimină adresele de e-mail în limba engleză și numerele de telefon din SUA. O organizație care realizează 95% eliminare PII pentru datele în limba engleză și 0% eliminare PII pentru identificatorii naționali germani nu a implementat măsuri tehnice adecvate pentru datele sale germane.
Investiția de conformitate în capacitate multilingvă nu este opțională pentru organizațiile cu expunere la date multilingve din UE. Este o componentă a măsurilor tehnice pe care GDPR le cere.
Pentru organizațiile multinaționale care evaluează dacă instrumentul lor actual îndeplinește standardul: testul nu este "poate instrumentul detecta adrese de e-mail în orice limbă?" Este "poate instrumentul detecta formatele de identificatori naționali prezente în datele noastre reale?" Pentru operațiuni din UE cu angajați, clienți sau pacienți din Germania, Franța, Polonia, Suedia sau orice alt stat membru al UE, acel test necesită acoperire de recunoaștere specifică jurisdicției.
Surse: