AEPD като най-продуктивният инфорсър в ЕС по обем
Испанската Agencia Española de Protección de Datos (AEPD) е най-активният DPA в ЕС по брой действия по правоприлагане, издавайки 847 резолюции за налагане на санкции през 2023 г. — повече от всички други DPA на ЕС, взети заедно по обем. Общият размер на глобите AEPD през 2023 г. надхвърли 12 милиона евро в тези резолюции.
Големият обем отразява подхода на прилагане на AEPD: за разлика от DPA, които се фокусират върху забележителни глоби срещу големи корпорации, AEPD издава значителен брой по-малки глоби срещу МСП, общински правителства и отделни организации, създавайки широк натиск за съответствие в цялата испанска икономика.
Фокусните области на прилагането на AEPD през 2024 г.:
- Видеонаблюдение и биометрични данни (29% от случаите)
- Маркетинг и непоискани комуникации (24% от случаите)
- Мониторинг на служителите и данни за човешките ресурси (18% от случаите)
- AI системи и автоматизирано вземане на решения (15% от случаите — нарастване от година на година)
- Данни за здравеопазване и специални категории (14% от случаите)
AEPD Уникално изискване за AI DPIA
„Guía de adecuación al RGPD de tratamientos con IA“ на AEPD от 2024 г. (Ръководство относно съответствието на GDPR за лечение с изкуствен интелект) надхвърля базовото ниво на GDPR в едно важно изискване: AEPD изисква въздействие върху защитата на данните Оценка (DPIA) за всяка AI система, която обработва лични данни.
Съгласно член 35 от GDPR се изискват DPIA за обработка, „която има вероятност да доведе до висок риск“ за правата и свободите на субектите на данни — контекстуална оценка. Насоките на AEPD възприемат по-категоричен подход: всяка AI система, обработваща лични данни, задейства изискването DPIA.
Това означава, че испанските организации трябва да провеждат и документират DPIA за:
- Чат ботове за обслужване на клиенти
- Инструменти за скрининг на набиране на персонал
- Алгоритми за маркетингова персонализация
- AI за обработка на документи (включително AI за анонимизиране)
- Всеки AI инструмент, който обработва данни на служители или клиенти
Практическото значение: организациите, използващи AI инструменти в Испания, трябва да имат DPIA документация за всеки инструмент, дори ако инструментът се използва широко и се счита за нискорисков от организацията.
Технически стандарти за анонимизиране на AEPD
Ръководството за анонимизиране на AEPD е повлияно от „Guide pratique de l'anonymisation“ на CNIL, но добавя специфични за испанския език изисквания:
Испански национални идентификатори:
- DNI (Documento Nacional de Identidad): 8-цифрен номер + буквена контролна цифра
- NIE (Número de Identificación de Extranjero): Буква + 7 цифри + буква, за чуждестранни граждани
- NIF (Número de Identificación Fiscal): еквивалент на DNI за данъчни цели
- Número de Seguridad Social: Формат на социалноосигурителния номер
Ръководството на AEPD отбелязва, че испанските модели NER често пропускат номера на NIE, които са често срещани в значителното имигрантско население на Испания. Организациите, обработващи данни на неиспански граждани в Испания, трябва да проверят способността за откриване на NIE.
Специфичен за испански контекст: Ръководството AEPD адресира специфичното предизвикателство на испанските имена — традицията на именуване с две фамилни имена (apellidos compuestos) създава предизвикателства за откриване на име за NER модели, обучени основно на конвенции за именуване с едно фамилно име. Испаноезичният NER трябва да обработва: „García López, Juan Carlos“ — където и „García“ и „López“ са фамилни имена, а не съставно фамилно име + лично име.
AEPD Мониторинг на служителите
18% от случаите на AEPD, включващи наблюдение на служители, отразява активното прилагане на ограниченията на Испания върху наблюдението на работодателите. Испанският статут на работниците (Estatuto de los Trabajadores) ограничава правата на работодателя за наблюдение и AEPD е агресивен в налагането на тези ограничения заедно със GDPR.
Ключови решения на AEPD относно наблюдението на служителите:
- Кейлогъри и наблюдение на екранни снимки: AEPD счита скритата инсталация на кийлогър за нарушение на GDPR в повечето контексти; прозрачното наблюдение на екранни снимки изисква документирана обосновка и оценка на пропорционалността
- GPS проследяване: Разрешено за работни превозни средства с прозрачно известие; забранено за лични превозни средства
- Наблюдение на имейли: Разрешено с предварително уведомление и документирана политика; анализът на съдържанието изисква допълнителна обосновка
- Мониторинг на ефективността на AI: Системите с изкуствен интелект, които оценяват работата на служителите чрез анализ на поведението, изискват изрично съответствие с насоките на DPIA и EDPB
Организациите, внедряващи AI инструменти, които наблюдават или анализират поведението на служителите (включително анализ на производителността, мониторинг на комуникацията и проследяване на присъствието), са изправени пред специфичен AEPD контрол.
Сграда AEPD-съвместима AI документация
За испански организации, внедряващи AI инструменти, AEPD-съвместим стек от документи:
1. Инвентаризация на AI системата: Документирайте всички AI системи, обработващи испански лични данни: име на системата, доставчик, цел, обработени категории данни, период на съхранение, статус на DPA.
2. DPIA за всяка AI система: Следвайки опростения шаблон DPIA на AEPD (достъпен на уебсайта на AEPD):
- Описание на обработката: цел, правно основание, категории данни, получатели
- Оценка на необходимостта и пропорционалността
- Оценка на риска: рискове за субектите на данни
- Мерки за намаляване на риска: технически и организационни контроли
- Запис за консултация с DPO (ако се изисква DPO)
3. Документация за техническия контрол: За всяка AI система документирайте техническите мерки за предотвратяване на неоторизиран достъп до лични данни:
- Филтриране преди подаване (откриване на PII + премахване преди обработка на AI)
- Контрол на достъпа до обработваните данни
- Принудително задържане
- Откриване на нарушения и реакция
4. Политика за наблюдение на служителите: Ако някоя AI система наблюдава служители: писмена политика, документираща обхвата на наблюдението, известие до служителите, правно основание и оценка на пропорционалността.
AEPD инспекциите обикновено първо изискват инвентаризацията на AI системата и DPIA. Организациите с предварително съществуваща документация решават проверките значително по-бързо от тези, които извършват оценки реактивно.
Източници: