AEPD Španělsko: DNI, NIE a latinskoamerické identifikátory
Španělský úřad pro ochranu osobních údajů AEPD vydal v roce 2023 celkem 847 sankčních rozhodnutí — nejvyšší počet ze všech regulátorů v EU. Jednotlivé pokuty jsou často nižší než v případech irské DPC nebo nizozemské AP. Objem případů však vytváří reálné riziko pro každou firmu působící ve Španělsku.
Rámec AEPD pro vymáhání předpisů v oblasti AI
Španělský regulátor zveřejnil nejpodrobnější pokyny EU k ochraně dat v oblasti AI. Pokrývají dvě oblasti.
Průvodce AI a GDPR (2020, aktualizován 2024): Tento průvodce vyžaduje DPIA pro jakýkoli AI systém zpracovávající osobní data. Platí i tehdy, když nejsou splněny prahové hodnoty článku 35 GDPR. Jde o jedno z nejširších pravidel DPIA v EU. Každá firma provozující AI na španělských datech musí před spuštěním dokončit DPIA.
Implementace španělského zákona o AI: Španělsko patří mezi první státy EU s národním registrem AI pro vysoce rizikové systémy. AEPD spolupracuje se španělským orgánem dohlížejícím na AI. Společně vymáhají pravidla jak Aktu o AI, tak GDPR. Firmy čelí riziku auditu ze strany obou orgánů.
Španělské národní identifikátory: mezera v detekci
Generické NLP nástroje detekují DNI a NIE v španělských dokumentech s přesností pouhých 34 %. AEPD to uvedla ve své zprávě za rok 2024. Každý identifikátor má strukturu, která vysvětluje, proč generické nástroje selhávají.
DNI: Osm číslic a jedna kontrolní písmeno. Písmeno vychází ze zbytku po dělení čísla hodnotou 23. Tato hodnota se mapuje na pevnou sekvenci písmen. Některá písmena jsou vyloučena — nejde o A až Z. Tento algoritmus je specifický pro Španělsko. Generické nástroje ho přeskakují. Nástroj, který ověří pouze číselný vzor bez modulárního kroku, produkuje chybné výsledky.
NIE: Jedno předponové písmeno (X, Y nebo Z), sedm číslic a kontrolní písmeno. NIE je určen pro cizí státní příslušníky ve Španělsku. Pokrývá daňové a správní účely. Každá předpona odráží jiné období vydávání. Kontrolní písmeno používá stejný algoritmus jako DNI. NIE se vyskytuje v pracovních smlouvách, daňových přiznáních a dokladech o pobytu.
Daňové identifikační číslo firmy CIF: Jedno písmeno, sedm číslic a kontrolní znak. Úvodní písmeno označuje typ společnosti. Kontrolní znak používá jiný algoritmus než DNI a NIE.
Průkaz zdravotní pojišťovny: Španělský formát zdravotní karty se liší podle regionu. Každé autonomní společenství používá vlastní formát. To automatizovanou detekci ztěžuje ve srovnání s jediným národním standardem.
Více o mezerách v identifikátorech napříč zeměmi EU viz náš průvodce mezerami v EU identifikátorech.
Latinskoamerické identifikátory: soulad napříč trhy
Vazby Španělska na Latinskou Ameriku posouvají požadavky na soulad za hranice Španělska. Každá firma obsluhující španělsky hovořící trhy potřebuje širší pokrytí PII.
Mexiko: CURP je 18místný alfanumerický kód. Kóduje datum narození, pohlaví, stát narození a iniciály jména. RFC je 13místné daňové identifikační číslo pro fyzické osoby a 12místné pro firmy. Oba identifikátory se vyskytují v pracovních a daňových záznamech.
Argentina: CUIL je 11místné číslo s kontrolní číslicí. CUIT má stejný formát. Argentinský národní doklad totožnosti má 7 až 8 číslic. Všechny tři se vyskytují v mzdové agendě, bankovnictví a vládních záznamech.
Chile: RUT a RUN mají 7 až 9 číslic, pomlčku a kontrolní číslici. Kontrola používá algoritmus modulus-11. Každá osoba a každá firma v Chile ho má. Detekce musí implementovat krok s kontrolní číslicí, aby se předešlo falešným shodám.
Kolumbie: Národní průkaz totožnosti má 8 až 10 číslic. NIT má devět číslic a kontrolní číslici a platí pro firmy.
Úplné pokrytí španělsky hovořících trhů znamená jak španělské identifikátory EU, tak latinskoamerická národní ID. Náš průvodce globální detekcí identifikátorů PII je srovnává s americkým SSN, indickým Aadhaar a dalšími národními identifikátory.
Přehled sankčních rozhodnutí AEPD za rok 2024
847 sankčních rozhodnutí je nejvyšší počet v EU. Španělský regulátor ho dosahuje vysokým počtem přijatých stížností a aktivními sektorovými přezkumy. Případy se rozdělují podle sektoru:
Telekomunikace a finanční služby: 42 % rozhodnutí. Hlavní problémy: neoprávněné úvěrové prověrky, nadměrná retenční lhůta a chybějící souhlas pro marketing.
Zdravotnictví a pojišťovnictví: 22 % rozhodnutí. Zdravotní data sdílená bez souhlasu, slabá de-identifikace pro výzkum a biometrické zpracování pro systémy objednávání.
Zaměstnanost: 19 % rozhodnutí. Sledování zaměstnanců, prověřování sociálních médií a kamerový dohled bez řádného oznámení.
AI systémy: Rostoucí kategorie. Úřad zjistil, že několik španělských firem provozuje AI bez dokončené DPIA. To porušuje vlastního průvodce AEPD k AI.
Technický základ pro soulad se španělskými PII standardy je detekce DNI a NIE s validací kontrolního písmene. Doplňte španělsky zaměřené rozpoznávání pojmenovaných entit. Poté přidejte pokrytí CURP, RUT, CUIL a národních průkazů totožnosti pro plnou podporu Latinské Ameriky.
Úplný postup DPIA podle španělských pravidel najdete v našem průvodci AEPD AI DPIA.