Üç Düzenleme Problemi
80 ülkeden satıcı doğrulama belgelerini işleyen Birleşik Krallık merkezli bir küresel pazar, üç eşzamanlı düzenleyici çerçeve ile karşı karşıyadır: AB merkezli satıcılar için GDPR, Brezilyalı satıcılar için LGPD (Lei Geral de Proteção de Dados) ve Hintli satıcılar için Hindistan'ın Dijital Kişisel Veri Koruma Yasası (DPDP). Her bir çerçeve, belirli bir şekilde işlenmesi gereken korunan kişisel veriler olarak farklı ulusal tanımlayıcıları belirler.
Brezilya CPF (Cadastro de Pessoas Fisicas): XXX.XXX.XXX-XX formatında 11 haneli bireysel vergi kimlik numarası. Son iki hane, belirli bir modüler aritmetik algoritmadan türetilen kontrol haneleridir. Brezilya LGPD, CPF'yi doğal kişilerin benzersiz bir tanımlayıcısı olarak kabul eder — hassasiyet açısından SSN ile eşdeğerdir. CPF formatını ve kontrol algoritmasını bilmeyen bir araç bunu tespit edemez.
Hindistan Aadhaar: Hindistan'ın Benzersiz Kimlik Otoritesi tarafından verilen 12 haneli biyometrik kimlik numarası. CPF ve SSN'in aksine, Aadhaar numaraları rastgele atanır ve Verhoeff algoritması kontrol hanesi içerir. Hindistan'ın DPDP Yasası, Aadhaar ile bağlantılı verileri işleyen kuruluşlara yükümlülükler getirir. Tespit, format tanıma (12 ardışık hane ile Verhoeff kontrolü) ve bağlama duyarlı bastırma (her 12 haneli numara bir Aadhaar değildir) gerektirir.
ABD SSN: Belirli alan numarası kısıtlamaları (ilk 3 hane), grup numarası yapısı (orta 2 hane) ve seri numarası aralığı (son 4 hane) ile belgelenmiş 9 haneli Sosyal Güvenlik Numarası. Doğrulama algoritmaları kurulmuş ve iyi belgelenmiştir.
Bu üç tanımlayıcı farklı formatlara, farklı doğrulama algoritmalarına ve farklı düzenleyici bağlamlara sahiptir. Brezilya, Hindistan ve ABD'den belgeleri eşzamanlı olarak işleyen bir uyum sistemi, bir ülkenin formatı için oluşturulmuş herhangi bir tek araca güvenemez.
Uygulamada Çoklu Düzenleyici Boşluğu
SSN tespiti ile küresel kapsama arasındaki boşluk, çoğu uyum ekibinin fark ettiğinden daha büyüktür. "PII aracımız çalışıyor" diyerek ABD verileri üzerinde test eden kuruluşlar, bir düzenleyici olay başarısızlığı ortaya çıkana kadar, ABD dışı formatlarda başarısız olduğunu asla keşfetmezler.
GDPR Madde 28, her veri işleyici ile yazılı bir Veri İşleme Anlaşması gerektirir. Anonimleştirme aracı için DPIA, aracın işlenen verilerde bulunan tüm tanımlayıcı formatlarını kapsayıp kapsamadığını ele almalıdır. Brezilyalı satıcıların CPF numaralarını içeren bir veri seti için "SSN tespiti"ni birincil PII kontrolü olarak listeleyen bir DPIA, belgelenmiş bir uyum boşluğu içerir — bu, bir düzenleyici denetimde belirlenebilir.
GDPR'nın %4'lük küresel yıllık gelir maksimum cezası, LGPD'nin eşdeğer hükümleri ve DPDP'nin ortaya çıkan yaptırımları, tek ülke PII tespit araçlarına güvenen küresel kuruluşlar için birikimli düzenleyici riskler oluşturur.
Kaynaklar: