AEPD Spanien: DNI, NIE og LATAM-identifikatorer
Spaniens databeskyttelsesmyndighed, AEPD, udstedte 847 håndhævelsesafgørelser i 2023. Det er det højeste antal fra nogen EU-regulator. Enkeltstående bøder er ofte mindre end sager fra den irske DPC eller nederlandske AP. Men mængden skaber reel risiko for enhver virksomhed med spanske aktiviteter.
AEPD's AI-håndhævelsesramme
Spaniens regulator har offentliggjort EU's mest detaljerede AI-vejledning til databeskyttelse. Den dækker to områder.
AI og GDPR-vejledning (2020, opdateret 2024): Denne vejledning kræver en DPIA for ethvert AI-system, der behandler personoplysninger. Det gælder, selv når GDPR artikel 35-tærskler ikke er nået. Det er en af EU's bredeste DPIA-regler. Enhver virksomhed, der kører AI på spanske data, skal gennemføre en DPIA inden lancering.
Spansk AI-lovimplementering: Spanien er blandt de første EU-stater med et nationalt AI-register for højrisikosystemer. AEPD samarbejder med Spaniens AI-tilsynsorgan. Sammen håndhæver de både AI-lovgivning og GDPR-regler. Virksomheder er udsat for revisionsrisiko fra begge myndigheder.
Spanske nationale identifikatorer: Detektionsgabet
Generiske NLP-værktøjer detekterer DNI og NIE med kun 34 % nøjagtighed i spanske dokumenter. AEPD rapporterede dette i sin 2024-rapport. Hver identifikator har en struktur, der forklarer, hvorfor generiske værktøjer fejler.
DNI: Otte cifre plus ét kontrolbogstav. Bogstavet stammer fra tallets rest ved division med 23. Den værdi afbildes på en fast bogstavsekvens. Visse bogstaver er udelukket — det er ikke A til Z. Denne algoritme er Spanien-specifik. Generiske værktøjer springer den over. Et værktøj, der kun kontrollerer ciffermønstret uden modulus-trinnet, giver forkerte resultater.
NIE: Ét præfiksbogstav (X, Y eller Z), syv cifre, derefter et kontrolbogstav. NIE gælder for udenlandske statsborgere i Spanien. Det dækker skat og administrativ brug. Hvert præfiks afspejler en forskellig udstedelsesperiode. Kontrolbogstavet bruger den samme algoritme som DNI. NIE forekommer i ansættelseskontrakter, selvangivelser og opholdsdokumenter.
CIF (virksomhedsskat-ID): Ét bogstav plus syv cifre plus et kontroltegn. Åbningsbogstavet viser virksomhedstype. Kontroltegnet bruger en separat algoritme fra DNI og NIE.
Sundhedskort: Spaniens sundhedskortformat varierer efter region. Hvert selvstyrende samfund bruger sit eget format. Det gør automatiseret detektion sværere end ved én enkelt national standard.
For mere om identifikatorgab på tværs af EU-lande, se vores guide til EU-identifikatorgab.
Latinamerikanske identifikatorer: Compliance på tværs af markeder
Spaniens bånd til Latinamerika skubber compliance-kravene ud over Spanien. Enhver virksomhed, der betjener spansktalende markeder, har brug for bredere PII-dækning.
Mexico: CURP er en 18-tegns alfanumerisk kode. Den koder fødselsdato, køn, fødelsesstat og navneinitiale. RFC er et 13-tegns skat-ID for enkeltpersoner og 12 tegn for virksomheder. Begge forekommer i beskæftigelses- og skatteregistre.
Argentina: CUIL er et 11-cifret nummer med et kontrolciffer. CUIT bruger samme format. Det argentinske nationale ID er 7 til 8 cifre. Alle tre forekommer i løn-, bank- og offentlige registre.
Chile: RUT og RUN er 7 til 9 cifre, en bindestreg og et kontrolciffer. Kontrollen bruger en modulus-11-algoritme. Enhver person og virksomhed i Chile har ét. Detektion skal implementere kontrolciffer-trinnet for at undgå falske match.
Colombia: Nationalt ID-kort er 8 til 10 cifre. NIT er ni cifre plus et kontrolciffer og gælder for virksomheder.
Fuld dækning for spansktalende markeder betyder både spanske EU-identifikatorer og latinamerikanske nationale ID'er. Vores globale PII-identifikatorvejledning sammenligner disse med det amerikanske SSN, indiske Aadhaar og andre nationale ID'er.
AEPD's håndhævelsesfordeling i 2024
847 håndhævelsesafgørelser er EU's højeste antal. Spaniens regulator opnår dette gennem høj klageindtag og aktive sektorsweeps. Sager fordeles efter sektor:
Telekommunikation og finansielle tjenester: 42 % af afgørelserne. Primære problemer: uautoriserede kreditkontroller, overdreven opbevaring og manglende samtykke til markedsføring.
Sundhedsvæsen og forsikring: 22 % af afgørelserne. Sundhedsdata delt uden samtykke, svag de-identifikation til forskning og biometrisk behandling til aftalesystemer.
Beskæftigelse: 19 % af afgørelserne. Medarbejderovervågning, screening af sociale medier og videoovervågning uden ordentlig underretning.
AI-systemer: En voksende kategori. Myndigheden fandt, at flere spanske virksomheder kørte AI uden gennemførte DPIA'er. Det overtræder AEPD's egne AI-retningslinjer.
Den tekniske grundlinje for spansk PII-compliance er DNI- og NIE-detektion med kontrolbogstavsvalidering. Tilføj spansksprogede named entity-genkendelse. Tilføj derefter CURP-, RUT-, CUIL- og nationale ID-kortdækning for fuld latinamerikansk understøttelse.
Se vores AEPD AI DPIA compliance-vejledning for den fulde DPIA-arbejdsgang under spanske regler.