Испанската Agencia Española de Protección de Datos (AEPD) издаде 847 решения за налагане на санкции през 2023 г. — най-големият брой решения за принудително изпълнение от всички ОЗД на ЕС. Въпреки че индивидуалните глоби често са по-малки от заглавните случаи GDPR от ирландската DPC или холандската AP, големият обем на прилагане на AEPD създава значително излагане на съответствие за всяка организация с операции в Испания.
AEPD's AI-First Enforcement Framework
AEPD публикува най-изчерпателните указания на ЕС за защита на данните, специфични за ИИ, включително:
**„Adecuación al RGPD de tratamientos que incorporan IA“ (2020 г., актуализиран 2024 г.): ** Ръководството за AI на AEPD изисква DPIA за всяка AI система, обработваща лични данни — независимо дали обработката с AI отговаря на риска по член 35 на GDPR праг за задължителни DPIA. Това е едно от най-обширните изисквания на DPIA в ЕС.
Прилагане на Закона за ИИ в Испания: Испания е сред първите държави-членки на ЕС с национален регистър за ИИ за високорискови системи с ИИ. AEPD се координира с испанския надзорен орган за ИИ, за да наложи комбинираните изисквания на Закона за ИИ + GDPR.
Испански национални идентификатори: Пропускът в откриването
Генеричните инструменти NLP откриват DNI и NIE само с 34% точност в испански документи (анализ AEPD 2024). Разбирането защо изисква разбиране на структурите на идентификатора:
DNI (Documento Nacional de Identidad): 8 цифри + 1 контролна буква. Контролната буква се изчислява като остатъка от числото, разделено на 23, нанесено на конкретна последователност от букви (не A-Z — определени букви са изключени). Този алгоритъм за буква от цифра е специфичен за Испания и не е внедрен в общи инструменти.
Пример: DNI 12345678Z — буквата Z се определя от 12345678 mod 23 = позиция в последователността от букви. Инструменти, които откриват 8-цифрени числа без валидиране на буквата или които валидират само модела без изчислението на модула, генерират фалшиви положителни и фалшиви отрицателни резултати.
NIE (Número de Identificación de Extranjeros): Формат X/Y/Z + 7 цифри + контролна буква. NIE се възлага на чуждестранни граждани в Испания за данъчни и административни цели. Трите формата (префикс X, Y, Z) отразяват различни периоди на издаване. Прилага се същият алгоритъм за контролно писмо. NIE се появява в трудовите досиета, договорите и данъчните документи за значителното чуждестранно население на Испания.
CIF/NIF empresarial: Данъчният идентификационен номер на компанията, формат 1 буква + 7 цифри + контролен знак (цифра или буква). Първата буква указва типа компания (A=S.A., B=S.L. и т.н.), а контролният знак използва различен алгоритъм от DNI/NIE.
Tarjeta Sanitaria Individual: Номер на националната здравна карта на Испания. Форматът варира според региона — испанските автономни общности (Каталуня, Мадрид, Андалусия и др.) използват различни формати на здравни карти. Тази фрагментация прави автоматизираното откриване предизвикателство.
Латинскоамерикански испански: AEPD Съответствие в глобален контекст
Езиковата и историческа връзка на Испания с Латинска Америка създава измерение на съответствието, което се простира отвъд границите на Испания. Организациите с операции на испаноговорящите пазари се нуждаят от инструменти за PII, обхващащи:
Мексико: CURP (Clave Única de Registro de Población) — 18-символно буквено-цифрово кодиране на дата на раждане, пол, състояние на раждане и инициали на името. RFC (Registro Federal de Contribuyentes) — 13-знаков буквено-цифров данъчен номер за физически лица, 12 за компании.
Аржентина: CUIL (Código Único de Identificación Laboral) — 11-цифрен формат с контролна цифра (префикс + CUIT + проверка). CUIT (Código Único de Identificación Tributaria) — същият формат като CUIL. DNI аржентино — 7-8 цифрен национален идентификатор.
Чили: RUT (Rol Único Tributario) / RUN — 7-9 цифри + тире + контролна цифра (цифра или K). Контролната цифра използва алгоритъм по модул-11. Всяко чилийско физическо лице и бизнес единица има RUT.
Колумбия: Cédula de Ciudadanía — 8-10 цифрен национален идентификатор. NIT (Número de Identificación Tributaria) — 9 цифри + контролна цифра за фирми.
За мултинационални организации, обслужващи испаноговорящи пазари в Испания и Латинска Америка, се изисква покритие на инструмента за PII както на испански идентификатори в ЕС (DNI, NIE, CIF), така и на латиноамерикански национални идентификатори (CURP, RUT, CUIL, Cédula) за съответствие с AEPD и LGPD/местно DPA съответствие в всяка държава.
AEPD Фокус на правоприлагането през 2024 г
847 решения за принудително изпълнение — най-високият брой в ЕС — отразяват големия прием на жалби и систематичното изпълнение на AEPD. Ключови сектори:
**Телекомуникационни и финансови услуги: ** 42% от резолюциите на AEPD. Неоторизирани кредитни проверки, прекомерно запазване на данни и неадекватно съгласие за маркетинг.
Здравеопазване и застраховка: 22% от решенията. Споделяне на здравни данни без съгласие, неадекватна деидентификация за изследователска употреба и биометрична обработка за управление на срещи.
Заетост: 19% от решенията. Мониторинг на служителите, скрининг в социалните медии и видеонаблюдение без адекватно уведомяване.
Системи с изкуствен интелект: Растяща категория — AEPD откри множество испански компании, внедряващи AI без завършени DPIAs, в нарушение на задължителното изискване DPIA на ръководството за AI на AEPD.
Откриване на DNI/NIE с валидиране на контролно писмо, NER на испански език (spaCy es_core_news) и покритие на латиноамерикански идентификатор за CURP, RUT, CUIL и Cédula представляват базовите технически изисквания за цялостно съответствие с PII на испански език.
Източници: