LGPD Brezilya: CPF, CNPJ ve Veri Koruma
Brezilya'nın Lei Geral de Proteção de Dados (LGPD) yasası, 215 milyon kişiyi kapsamaktadır. Nüfus bakımından dünyanın üçüncü büyük veri koruma yasasıdır. Almanya, Fransa ve Birleşik Krallık'ın toplamından daha fazla insanı kapsamaktadır. Autoridade Nacional de Proteção de Dados (ANPD), 2024'te ilk büyük para cezalarını uyguladı. LGPD'nin 2020'deki yürürlüğe girmesinin ardından tanınan geçiş dönemi sona erdi.
Teknik bir zorluk da mevcuttur. LGPD belgeleri Brezilya Portekizcesiyle yazılmıştır. Brezilya'daki ulusal kimlikler Portekiz'dekilerden farklıdır. Başka hiçbir ülkenin kimliklerinden de farklıdır.
Brezilya KKB'si Neden Farklıdır
Brezilya'nın federal ve eyalet kimlik sistemleri, Avrupa dijital kimlik sistemlerinden ayrı biçimde gelişti. Bu durum, kendine özgü bir tanımlayıcılar kümesi yarattı. NLP araçlarının büyük çoğunluğu İngilizce veya Avrupa verileri üzerinde eğitilmiştir. Yerel kimlikleri tespit etmekte başarısız olurlar.
CPF (Cadastro de Pessoas Físicas): 11 haneli vergi mükellefi numarası. Format: XXX.XXX.XXX-XX. İki kontrol hanesi vardır. Formül iki ayrı matematiksel adım kullanır. CPF'nin geçerli sayılması için ikisi de eşleşmelidir.
Tespit boşluğu büyüktür. İngilizce eğitimli NLP araçları CPF'yi yalnızca %45 doğrulukla tespit eder (ANPD, 2024). İki neden bunu açıklar. Birincisi, iki adımlı kontrol hanesi mantığı olmaksızın 11 haneli sayılarla eşleşen araçlar, geçerli CPF numaralarını rastgele dizilerle karıştırır. İkincisi, CPF bazen XXX.XXX.XXX-XX formatını içermeyebilir. Bu durum OCR çıktısında ve düz metin formlarında ortaya çıkar.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14 haneli şirket kimlik numarası. Format: XX.XXX.XXX/XXXX-XX. İki kontrol hanesi de vardır. Formül CPF'ye benzer ama aynı değildir.
RG (Registro Geral): Eyalet medeni kimlik kartı. Format eyalete göre değişir. São Paulo, 2 harf ve 5–9 rakam kullanır. Rio de Janeiro, tireli 7–8 rakam kullanır. Minas Gerais, 7–9 rakam kullanır. Diğer eyaletlerin kendi formatları vardır. Yalnızca bir eyaletin RG'sini bilen bir araç, RG numaralarının büyük çoğunluğunu kaçıracaktır.
CNH (Carteira Nacional de Habilitação): 11 haneli sürücü belgesi numarası. Bir kontrol hanesi vardır. Format, bölge kodu içerir.
Título de Eleitor: 12 haneli seçmen kimlik numarası. Üç bölümden oluşur: 8 haneli kimlik kodu, 2 haneli eyalet kodu ve 2 kontrol hanesi.
SUS numarası (Cartão SUS): 15 haneli kamu sağlık kimliği. Ülkedeki her kişi birine sahiptir. Tüm hastane ve klinik kayıtlarında görünür.
PIS/PASEP: 11 haneli sosyal program numarası. Her istihdam kaydında görünür.
LGPD Anonimleştirme Standardı
LGPD Madde 12, anonim veriyi tanımlar. Standart: 'işleme sırasında makul teknik araçlar göz önünde bulundurulduğunda tanımlanamayan' veri. Bu, teknolojiye bağıl bir standarttır. Bugünün anonim verisi, yeniden tanımlama yöntemleri geliştikçe bu niteliğini koruyamayabilir.
ANPD ek kılavuz sunar. CPF ve ad gibi doğrudan tanımlayıcıları kaldırmak yeterli değildir. Yarı tanımlayıcı grupları hâlâ yeniden tanımlamaya olanak tanıyabilir. Yaş aralığı, şehir, cinsiyet ve meslek birlikte bir kişiyi tanımlayabilir. Bunlar gruplandırma veya gürültü ekleme yoluyla ele alınmalıdır.
Yapay zeka eğitim verisi için ANPD üç koşuldan birini gerektirir. Birincisi: veri Madde 12 standardını karşılar. İkincisi: her veri sahibi belirli eğitim kullanımı için açık rıza vermiştir. Üçüncüsü: geçerli bir belgelenmiş amaç mevcuttur.
Portekizce Dil Gereksinimleri
Brezilya Portekizcesi, Avrupa Portekizcesinden farklıdır. Sözcükler, yazım ve belge formları aynı değildir. Portekiz metni üzerinde eğitilmiş NLP modelleri, yerel metin üzerinde eğitilmiş modellerin doğruluğunun yaklaşık %71'ine ulaşır. Bu, ANPD teknik değerlendirmesinden gelmektedir.
KKB tespiti açısından temel farklılıklar:
- İsimler: Çift soyadı kullanımı ve isim sırası Portekiz'den farklıdır.
- Adresler: CEP kodları XXXXX-XXX formatını kullanır. Bu format ülkeye özgüdür. Kendine özel tespit mantığı gerektirir.
- Belge terimleri: Burada 'Carteira de Identidade', Portekiz'de ise 'Bilhete de Identidade'. Kurum adları da farklılık gösterir.
ANPD Uyumluluğu için Gerekenler
Dört teknik gereksinim ANPD uyumluluğunu kapsamaktadır. CPF ve CNPJ tespiti, iki adımlı kontrol hanesi doğrulamasını içermelidir. RG tespiti tüm eyaletleri kapsamalıdır. SUS numarası ve Título de Eleitor tespiti de gereklidir. NLP modelleri, yerel Portekizce metinler üzerinde eğitilmiş olmalıdır.
Küresel KKB tanımlayıcı tespiti ve 2024'teki LGPD yaptırım eylemleri kılavuzlarımıza bakın.