Spanien's Agencia Española de Protección de Datos (AEPD) udstedte 847 sanktionerende afgørelser i 2023 — det højeste antal af håndhævelsesbeslutninger fra nogen EU DPA. Selvom individuelle bøder ofte er mindre end overskrifts-GDPR-sager fra den irske DPC eller hollandske AP, skaber AEPD's høje håndhævelsesvolumen betydelig overholdelseseksponering for enhver organisation med aktiviteter i Spanien.
AEPD's AI-Første Håndhævelsesramme
AEPD har offentliggjort EU's mest omfattende AI-specifikke databeskyttelsesvejledning, herunder:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, opdateret 2024): AEPD's AI-guide kræver en DPIA for ethvert AI-system, der behandler personoplysninger — uanset om AI-behandlingen opfylder GDPR Artikel 35 risikogrænsen for obligatoriske DPIA'er. Dette er et af de mest omfattende DPIA-krav i EU.
Implementering af den spanske AI-lov: Spanien er blandt de første EU-medlemslande med et nationalt AI-register for højrisiko AI-systemer. AEPD koordinerer med Spaniens AI-tilsynsorgan for at håndhæve kombinerede AI-lov + GDPR-krav.
Spanske Nationale Identifikatorer: Detektionskløften
Generiske NLP-værktøjer registrerer DNI og NIE med kun 34% nøjagtighed i spanske dokumenter (AEPD 2024 analyse). At forstå hvorfor kræver forståelse af identifikatorstrukturerne:
DNI (Documento Nacional de Identidad): 8 cifre + 1 kontrolbogstav. Kontrolbogstavet beregnes som resten af tallet divideret med 23, kortlagt til en specifik bogstavsekvens (ikke A-Z — visse bogstaver er udelukket). Denne bogstav-fra-tal algoritme er Spanien-specifik og ikke implementeret i generiske værktøjer.
Eksempel: DNI 12345678Z — bogstavet Z bestemmes af 12345678 mod 23 = position i bogstavsekvensen. Værktøjer, der registrerer 8-cifrede tal uden bogstavvalidering, eller der kun validerer mønsteret uden modulusberegning, genererer falske positiver og falske negativer.
NIE (Número de Identificación de Extranjeros): Format X/Y/Z + 7 cifre + kontrolbogstav. NIE tildeles udenlandske statsborgere i Spanien til skatte- og administrative formål. De tre formater (X, Y, Z præfiks) afspejler forskellige udstedelsesperioder. Den samme kontrolbogstavsalgoritme gælder. NIE vises i ansættelsesoptegnelser, kontrakter og skattedokumenter for Spaniens betydelige udenlandske befolkning.
CIF/NIF empresarial: Virksomhedens skatteidentifikationsnummer, format 1 bogstav + 7 cifre + kontroltegn (ciffer eller bogstav). Det første bogstav angiver virksomhedstype (A=S.A., B=S.L., osv.), og kontroltegn bruger en anden algoritme end DNI/NIE.
Tarjeta Sanitaria Individual: Spaniens nationale sundhedskortnummer. Format varierer efter region — spanske autonome samfund (Cataluña, Madrid, Andalucía, osv.) bruger forskellige sundhedskortformater. Denne fragmentering gør automatisk registrering udfordrende.
Latinamerikansk Spansk: AEPD Overholdelse i en Global Kontekst
Spanien's sproglige og historiske forbindelse til Latinamerika skaber en overholdelsesdimension, der strækker sig ud over Spaniens grænser. Organisationer med aktiviteter på tværs af spansktalende markeder har brug for PII-værktøjer, der dækker:
Mexico: CURP (Clave Única de Registro de Población) — 18-tegn alfanumerisk kodning af fødselsdato, køn, fødselsstat og navninitialer. RFC (Registro Federal de Contribuyentes) — 13-tegn alfanumerisk skatte-ID for enkeltpersoner, 12 for virksomheder.
Argentina: CUIL (Código Único de Identificación Laboral) — 11-cifret format med kontrolciffer (præfiks + CUIT + kontrol). CUIT (Código Único de Identificación Tributaria) — samme format som CUIL. Argentinsk DNI — 7-8 cifret national ID.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 cifre + bindestreg + kontrolciffer (ciffer eller K). Kontrolcifferet bruger en modulus-11 algoritme. Hver chilensk enkeltperson og virksomhed har en RUT.
Colombia: Cédula de Ciudadanía — 8-10 cifret national ID. NIT (Número de Identificación Tributaria) — 9 cifre + kontrolciffer for virksomheder.
For multinationale organisationer, der betjener spansktalende markeder i Spanien og Latinamerika, er PII-værktøjsdækning af både spanske EU-identifikatorer (DNI, NIE, CIF) og latinamerikanske nationale identifikatorer (CURP, RUT, CUIL, Cédula) nødvendig for AEPD-overholdelse og LGPD/lokal DPA-overholdelse i hvert land.
AEPD's Håndhævelsesfokus i 2024
847 håndhævelsesbeslutninger — EU's højeste antal — afspejler AEPD's høje klageindtag og systematiske håndhævelse. Nøglesektorer:
Telekommunikation og finansielle tjenester: 42% af AEPD's afgørelser. Uautoriserede kreditvurderinger, overdreven datalagring og utilstrækkelig samtykke til markedsføring.
Sundhed og forsikring: 22% af afgørelserne. Deling af sundhedsdata uden samtykke, utilstrækkelig de-identifikation til forskningsbrug og biometrisk behandling til aftalestyring.
Ansættelse: 19% af afgørelserne. Overvågning af medarbejdere, screening af sociale medier og videoovervågning uden tilstrækkelig meddelelse.
AI-systemer: Voksende kategori — AEPD fandt flere spanske virksomheder, der implementerede AI uden afsluttede DPIA'er, i strid med AEPD's AI-guides obligatoriske DPIA-krav.
DNI/NIE registrering med kontrolbogstavsvalidering, spansk-sproget NER (spaCy es_core_news), og latinamerikanske identifikatorer for CURP, RUT, CUIL og Cédula repræsenterer de grundlæggende tekniske krav til omfattende spansk-sproget PII-overholdelse.
Kilder: