Globalny suhlas s ochranou osobnych udajov: Tri zakony, tri formaty ID
Britsky marketplace spracovava dokumenty predajcov z 80 krajin. Naraz platia tri zakony: GDPR pre predajcov z EU, LGPD pre brazilskych predajcov a indicky zakon DPDP pre indickych predajcov. Kazdy zakon menuje rozne narodne identifikatory ako chranene. Kazdy format ma svoju vlastnu kontrolnu logiku.
Brazilske CPF: Format a status v LGPD
CPF (Cadastro de Pessoas Fisicas) je brazilske danove identifikacne cislo. Ma 11 cifier vo formate XXX.XXX.XXX-XX. Posledne dve cislice su kontrolne cislice. Matematicky algoritmus na prvych devaf cisliciach ich generuje.
Brazilsky LGPD traktuje CPF ako chraneny osobny identifikator, podobny citlivostou americkeho SSN. Nastroj, ktory nezna format CPF, ho nedokaze najst. Nastroj, ktory preskoci kontrolny sucet, bude signalizovat nepravdive zhody.
Indicky Aadhaar: Format a pravidla DPDP
Aadhaar je 12-miestne cislo vydane UIDAI Indie. Cisla su priradovane nahodne. Posledna cislica je Verhoeffova kontrolna cislica.
Indicky zakon DPDP vytvara povinnosti pre akukolvek organizaciu, ktora spracovava udaje spojene s Aadhaar. Detekcia vyzaduje dva kroky. Najprv porovnat 12-miestny format a skontrolovat Verhoeffovu cislicu. Po druhe filtrovaf podla kontextu. Nie kazdy 12-miestny retazec je Aadhaar.
Americke SSN: Znama struktura
SSN ma devaf cifier. Prve tri su cislo oblasti. Dalsie dve su cislo skupiny. Posledne styri su seriove cislo. Kazdy segment ma stanovene pravidla. Validacia je dobre zdokumentovana.
Medzera medzi nastrojmi pre jednu krajinu a globalnymi pravidlami
Tieto tri identifikatory nezdielaju ziadny format ani kontrolne pravidlo. Nastroj vytvoreny pre americke pouzitie zachyti SSN. CPF a Aadhaar moze zcela preskocit.
Vacsina timov tuto medzeru zistuje az vtedy, ked sa opyta regulacny organ -- nie predtym. Medzera vytvara realne riziko podla kazdeho zakona:
- GDPR Clanok 28 vyzaduje pisomnu Zmluvu o spracovani udajov s kazdom spracovatelom. DPIA, ktora uvadza "detekciu SSN" ako hlavnu kontrolu -- ked dataset obsahuje aj cisla CPF -- ma zdokumentovanu medzeru. Auditora ju moze najst.
- LGPD pokuty mozu dosiahnuf 2 % brazilskych prijmov, az do R$50M za narusenie. CPF, ktore zostane nezistene, je priame porusenie LGPD.
- DPDP vymahanie je este nove. Timy, ktore teraz zaznamenaju svoje pokrytie, budu lepsia postavene, ked priekopnicke rozhodnutia nastavia standard.
Tri penalzne rezimy zaroven vytvoria vrstvenej riziko. Nastroje pre jednu krajinu nechavaju globalne timy vystavene.
Co uplne pokrytie vyzaduje
Nastroj potrebuje format kazdeho ID, kontrolny algoritmus a pravny kontext. CPF potrebuje modulovy kontrolny sucet. Aadhaar potrebuje Verhoeffov test plus kontextove filtrovanie. SSN potrebuje pravidla oblasti a skupiny. Ide o tri samostatne problemy. Ziadny jednotlivy vzor vyhladavania ich vsetkych nepokryje.
Pozri tiez: globalna medzera v PII identifikatoroch: SSN, CPF, Aadhaar, sprievodca ANPD Brazilia vymahanie LGPD a technicka suhladnost s indickym sukomnym zakonom DPDPA.