anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

AEPD España: Lo que la AEPD de España requiere que...

La AEPD emitió 847 resoluciones sancionadoras en 2023 — la más alta en la UE por número — y requiere DPIAs para todos los sistemas de IA que...

June 5, 20267 min de lectura
AEPD SpainSpanish GDPRAI DPIA Spainemployee monitoringSpanish data protection

AEPD España: IA y normas de protección de datos laborales

Actualizado para 2026

AEPD: la autoridad de control más activa de la UE

La AEPD (Agencia Española de Protección de Datos) es el organismo de vigilancia de privacidad de España. Emitió 847 resoluciones sancionadoras en 2023. Ninguna otra autoridad de la UE se acercó a esa cifra. El total de sanciones ese año superó los 12 millones de euros.

El enfoque de la agencia difiere del de la mayoría de sus homólogas europeas. No se centra únicamente en grandes multas a grandes empresas. También actúa contra pymes, ayuntamientos y organizaciones medianas. Esto genera una presión amplia en toda la economía española.

Áreas de actuación prioritaria en 2024:

  • Cámaras y controles biométricos (29 % de los casos)
  • Marketing y comunicaciones no solicitadas (24 % de los casos)
  • Vigilancia de empleados y expedientes de RRHH (18 % de los casos)
  • Sistemas de IA y decisiones automatizadas (15 % de los casos — en aumento)
  • Datos de salud y categorías especiales (14 % de los casos)

La obligación de EIPD para sistemas de IA según la AEPD

La Guía de adecuación al RGPD de tratamientos con IA del regulador (2024) establece una regla clara. Toda herramienta de IA que gestione expedientes personales requiere una Evaluación de Impacto en la Protección de Datos (EIPD).

El artículo 35 del RGPD exige EIPDs cuando el tratamiento sea «susceptible de generar un riesgo elevado». Es un test contextual. La autoridad española adopta una posición más estricta. Su guía establece que cualquier herramienta ML que toque expedientes personales activa la obligación de EIPD. No se requiere un análisis previo caso por caso.

Las organizaciones españolas deben realizar y documentar EIPDs para:

  • Chatbots de atención al cliente
  • Herramientas de cribado de candidatos
  • Herramientas de marketing
  • Modelos de procesamiento de texto (incluidas las herramientas de anonimización)
  • Cualquier herramienta de IA que gestione expedientes de empleados o clientes

Cada herramienta utilizada en España necesita su propio expediente de EIPD. Esto aplica incluso si la herramienta parece de bajo riesgo.

Estándares de anonimización de la AEPD

La guía de anonimización de la agencia se basa en el trabajo de la CNIL. Añade requisitos específicos para España en cuanto a identificadores nacionales:

Tipos de documentos de identidad españoles:

  • DNI (Documento Nacional de Identidad): número de 8 dígitos más letra de control
  • NIE (Número de Identificación de Extranjero): letra + 7 dígitos + letra, para extranjeros
  • NIF (Número de Identificación Fiscal): mismo formato que el DNI, usado a efectos fiscales
  • Número de Seguridad Social: número de la Seguridad Social española

La autoridad señala que los modelos NER a menudo no detectan los números NIE. España cuenta con una importante población inmigrante. Compruebe que sus herramientas detectan los NIE cuando trate expedientes de personas no españolas.

Patrones de nombres españoles:

La tradición española usa dos apellidos (apellidos compuestos). Los modelos NER entrenados con datos de apellido único pueden fallar aquí. El nombre «García López, Juan Carlos» tiene dos apellidos, no uno solo. Los modelos NER en español deben gestionar esta estructura.

Casos de vigilancia de empleados resueltos por la AEPD

El 18 % de los casos afectan a la vigilancia de empleados. España limita el control del empleador mediante el Estatuto de los Trabajadores. El regulador aplica estos límites junto con el RGPD.

Posiciones clave de la autoridad:

  • Keyloggers: La instalación encubierta de keyloggers supone una infracción del RGPD en la mayoría de los casos. Las herramientas de captura de pantalla requieren una justificación escrita y una prueba de proporcionalidad.
  • Seguimiento GPS: Permitido en vehículos de empresa con comunicación previa a los empleados. Prohibido en vehículos particulares.
  • Control del correo electrónico: Permitido con aviso previo escrito y política documentada. El análisis del contenido requiere justificación adicional.
  • Herramientas de seguimiento por IA: Todo modelo que analice el comportamiento de los empleados requiere EIPD. Las reglas del EDPB también se aplican.

La vigilancia automatizada recibe el mayor escrutinio por parte de la DPA española.

Documentación conforme a la AEPD para sistemas de IA

Para las organizaciones españolas que usan herramientas de IA, son necesarios cuatro conjuntos de documentos.

1. Inventario de sistemas de IA

Liste cada herramienta que gestione expedientes personales españoles. Indique: nombre del sistema, proveedor, finalidad, tipos de expediente, plazo de conservación y estado del DPA.

2. EIPD por sistema

Use la plantilla de EIPD publicada por el regulador. Incluya:

  • Finalidad, base jurídica, tipos de expediente y destinatarios
  • Verificación de proporcionalidad
  • Evaluación de riesgos para los interesados
  • Medidas de control: técnicas y de proceso
  • Registro de consulta al DPO (si se requiere DPO)

3. Registro de medidas técnicas

Para cada herramienta, documente los controles que impiden el acceso no autorizado:

  • Filtrado previo (eliminación de datos personales antes de que el modelo procese)
  • Controles de acceso a los resultados procesados
  • Cumplimiento de los plazos de conservación
  • Procedimientos de detección y respuesta a incidentes

4. Política de vigilancia de empleados

Si alguna herramienta monitoriza a empleados, añada una política escrita. Debe especificar el alcance, informar a los trabajadores, nombrar la base jurídica y demostrar la proporcionalidad.

Las auditorías de la AEPD comienzan con el inventario y las EIPDs. Las organizaciones con estos documentos preparados resuelven las inspecciones mucho más rápido. Nuestra guía de cumplimiento del RGPD cubre el alcance documental. Nuestra guía de cumplimiento de seguridad explica los controles técnicos. Para la detección de datos personales en español, consulte nuestra guía de detección multilingüe de DCP.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.