AEPD Испания: DNI, NIE и латиноамерикански идентификатори
Испанският орган за защита на данните, AEPD, издаде 847 решения по прилагане през 2023 г. Това е най-висок брой за какъвто и да е европейски регулатор. Единичните глоби нерядко са по-малки от тези на ирландския DPC или холандския AP. Но обемът създава реален риск за всяка компания с испански операции.
Рамката на AEPD за прилагане при AI
Испанският регулатор публикува най-подробните EU насоки за защита на данните при AI. Те обхващат две области.
Ръководство за AI и GDPR (2020 г., актуализирано 2024 г.): Ръководството изисква DPIA за всяка AI система, обработваща лични данни. Прилага се дори когато праговете по член 35 от GDPR не са достигнати. Това е едно от най-широките правила за DPIA в ЕС. Всяка компания, прилагаща AI върху испански данни, трябва да завърши DPIA преди стартирането.
Прилагане на испанския Закон за AI: Испания е сред първите страни в ЕС с национален регистър на AI за системи с висок риск. AEPD работи съвместно с испанския надзорен орган за AI. Заедно те прилагат правилата по Закона за AI и GDPR. Компаниите са изложени на одиторски риск и от двата органа.
Испански национални идентификатори: Пропастта при разпознаването
Универсалните NLP инструменти разпознават DNI и NIE само с 34% точност в испански документи. AEPD съобщи за това в доклада си от 2024 г. Всеки идентификатор има структура, обясняваща защо универсалните инструменти се провалят.
DNI: Осем цифри плюс една контролна буква. Буквата се получава от остатъка при деление на числото на 23. Тази стойност се съпоставя с фиксирана буквена последователност. Някои букви са изключени — редицата не е от A до Z. Алгоритъмът е специфичен за Испания. Универсалните инструменти го пропускат. Инструмент, проверяващ само шаблона на цифрите без стъпката за модул, дава грешни резултати.
NIE: Една префиксна буква (X, Y или Z), седем цифри, след това контролна буква. NIE е за чуждестранни граждани в Испания. Обхваща данъчна и административна употреба. Всеки префикс отразява различен период на издаване. Контролната буква използва същия алгоритъм като DNI. NIE се среща в трудови договори, данъчни декларации и документи за пребиваване.
CIF данъчен номер на компания: Една буква плюс седем цифри плюс контролен символ. Началната буква показва типа компания. Контролният символ използва отделен алгоритъм от DNI и NIE.
Здравна карта: Форматът на испанската здравна карта варира по региони. Всяка автономна общност използва свой формат. Това прави автоматизираното разпознаване по-трудно, отколкото при единен национален стандарт.
За повече информация за пропуските при идентификаторите в различните страни на ЕС вижте нашето ръководство за пропуски при EU идентификатори.
Латиноамерикански идентификатори: Съответствие на различни пазари
Връзките на Испания с Латинска Америка разширяват изискванията за съответствие отвъд страната. Всяка компания, обслужваща испаноезични пазари, се нуждае от по-широко покритие на лични данни.
Мексико: CURP е 18-символен буквено-цифров код. Той кодира дата на раждане, пол, щат на раждане и инициали на имена. RFC е 13-символен данъчен идентификатор за физически лица и 12 символа за дружества. И двата се срещат в трудови и данъчни документи.
Аржентина: CUIL е 11-цифрен номер с контролна цифра. CUIT използва същия формат. Аржентинската национална лична карта е 7 до 8 цифри. И трите се срещат в ведомости за заплати, банкови и правителствени документи.
Чили: RUT и RUN са 7 до 9 цифри, тире и контролна цифра. Проверката използва алгоритъм modulus-11. Всяко физическо лице и бизнес в Чили притежава такъв. Разпознаването трябва да реализира стъпката за контролна цифра, за да избегне фалшиви съвпадения.
Колумбия: Националната лична карта е 8 до 10 цифри. NIT е девет цифри плюс контролна цифра и се прилага за бизнеси.
Пълното покритие за испаноезичните пазари означава и испанските идентификатори на ЕС, и латиноамериканските национални лични карти. Нашето глобално ръководство за идентификатори на лични данни ги сравнява с американския SSN, индийския Aadhaar и другите национални идентификатори.
Разпределение на прилагането от AEPD за 2024 г.
847 решения по прилагане е най-висок брой в ЕС. Испанският регулатор постига това чрез висок прием на жалби и активни секторни проверки. Делата се разпределят по сектори:
Телекомуникации и финансови услуги: 42% от решенията. Основни проблеми: неразрешени кредитни проверки, прекомерно съхранение и липсващо съгласие за маркетинг.
Здравеопазване и застраховане: 22% от решенията. Здравни данни, споделени без съгласие, слаба деидентификация за научни изследвания и биометрична обработка за системи за записване на часове.
Трудови правоотношения: 19% от решенията. Мониторинг на служители, проверки в социалните медии и видеонаблюдение без надлежно уведомление.
AI системи: Нарастваща категория. Органът установи множество испански компании, работещи с AI без завършена DPIA. Това нарушава собственото ръководство на AEPD за AI.
Техническата базова линия за съответствие с испанското законодателство за лични данни включва разпознаване на DNI и NIE с валидация на контролната буква. Добавете разпознаване на имена на испански. След това добавете поддръжка на CURP, RUT, CUIL и национални лични карти за пълно покритие на Латинска Америка.
Вижте нашето ръководство за DPIA по AEPD за AI за пълния работен процес по DPIA съгласно испанските правила.