anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

AEPD España: Cumplimiento del RGPD para PII en...

La AEPD emitió 847 resoluciones sancionadoras en 2023 — la más alta en la UE por número.

June 5, 20269 min de lectura
Spain AEPDDNI NIE detectionSpanish language PIILatin America complianceGDPR AI

AEPD España: DNI, NIE e identificadores LATAM

La autoridad española de protección de datos, la AEPD, emitió 847 resoluciones de ejecución en 2023. Es el número más alto de cualquier regulador de la UE. Las multas individuales suelen ser menores que las de la DPC irlandesa o la AP holandesa. Pero el volumen crea un riesgo real para cualquier empresa con operaciones en España.

Marco de aplicación de la AEPD para la IA

El regulador español ha publicado las directrices de IA más detalladas de la UE para la protección de datos. Cubre dos áreas.

Guía de IA y RGPD (2020, actualizada 2024): Esta guía exige una evaluación de impacto (EIPD) para cualquier sistema de IA que procese datos personales. Se aplica incluso cuando no se alcanzan los umbrales del artículo 35 del RGPD. Es una de las reglas de EIPD más amplias de la UE. Toda empresa que use IA con datos españoles debe completar una EIPD antes del lanzamiento.

Implementación de la Ley de IA española: España es uno de los primeros estados de la UE con un registro nacional de IA para sistemas de alto riesgo. La AEPD trabaja con el organismo de supervisión de IA español. Juntos aplican las normas de la Ley de IA y del RGPD. Las empresas enfrentan riesgo de auditoría de ambas autoridades.

Identificadores nacionales españoles: la brecha de detección

Las herramientas NLP genéricas detectan el DNI y el NIE con solo un 34% de precisión en documentos españoles. La AEPD lo comunicó en su informe de 2024. Cada identificador tiene una estructura que explica por qué fallan las herramientas genéricas.

DNI: Ocho dígitos más una letra de control. La letra se obtiene del resto de la división del número entre 23. Ese valor se corresponde con una secuencia fija de letras. Ciertas letras están excluidas — no es de la A a la Z. Este algoritmo es específico de España. Las herramientas genéricas lo omiten. Una herramienta que solo verifica el patrón de dígitos, sin el paso del módulo, produce resultados incorrectos.

NIE: Una letra de prefijo (X, Y o Z), siete dígitos y una letra de control. El NIE es para extranjeros en España. Cubre usos fiscales y administrativos. Cada prefijo refleja un período de emisión diferente. La letra de control usa el mismo algoritmo que el DNI. El NIE aparece en contratos de trabajo, declaraciones fiscales y documentos de residencia.

CIF número fiscal de empresas: Una letra más siete dígitos más un carácter de control. La primera letra indica el tipo de empresa. El carácter de control usa un algoritmo distinto al del DNI y el NIE.

Tarjeta sanitaria: El formato de la tarjeta sanitaria varía según la región. Cada comunidad autónoma usa su propio formato. Esto dificulta la detección automática en comparación con un estándar nacional único.

Para más información sobre las brechas de identificadores en países de la UE, consulte nuestra guía de brechas de identificadores de la UE.

Identificadores latinoamericanos: cumplimiento en todos los mercados

Los vínculos de España con América Latina amplían las exigencias de cumplimiento más allá de España. Cualquier empresa que atienda mercados hispanohablantes necesita una cobertura PII más amplia.

México: El CURP es un código alfanumérico de 18 caracteres. Codifica fecha de nacimiento, sexo, estado de nacimiento e iniciales del nombre. El RFC es un identificador fiscal de 13 caracteres para personas físicas y 12 para empresas. Ambos aparecen en documentos laborales y fiscales.

Argentina: El CUIL es un número de 11 dígitos con dígito verificador. El CUIT usa el mismo formato. El DNI argentino tiene 7 u 8 dígitos. Los tres aparecen en nóminas, documentos bancarios y registros gubernamentales.

Chile: El RUT y el RUN tienen de 7 a 9 dígitos, un guion y un dígito verificador. La verificación usa un algoritmo módulo-11. Toda persona y empresa en Chile tiene uno. La detección debe implementar el paso del dígito verificador para evitar coincidencias falsas.

Colombia: La cédula de ciudadanía tiene de 8 a 10 dígitos. El NIT tiene nueve dígitos más un dígito verificador y aplica a empresas.

La cobertura completa para mercados hispanohablantes requiere tanto identificadores españoles de la UE como identificadores nacionales latinoamericanos. Nuestra guía global de identificadores PII los compara con el SSN estadounidense, el Aadhaar indio y otros identificadores nacionales.

Resumen de aplicación de la AEPD en 2024

847 resoluciones de ejecución es el número más alto de la UE. El regulador español lo logra mediante un alto volumen de reclamaciones y barridos sectoriales activos. Los casos se distribuyen por sector:

Telecomunicaciones y servicios financieros: 42% de las resoluciones. Principales problemas: verificaciones de crédito no autorizadas, períodos de retención excesivos y falta de consentimiento para marketing.

Salud y seguros: 22% de las resoluciones. Datos de salud compartidos sin consentimiento, anonimización débil para investigación y procesamiento biométrico para sistemas de citas.

Empleo: 19% de las resoluciones. Vigilancia de empleados, análisis de redes sociales y videovigilancia sin notificación adecuada.

Sistemas de IA: Categoría en crecimiento. La autoridad encontró varias empresas españolas que operaban IA sin EIPD completadas. Eso infringe la propia guía de IA de la AEPD.

La base técnica para el cumplimiento PII en español es la detección de DNI y NIE con validación de letra de control. Añada reconocimiento de entidades nombradas en español. Luego incorpore cobertura de CURP, RUT, CUIL y cédula para soporte latinoamericano completo.

Consulte nuestra guía de cumplimiento AEPD IA EIPD para el flujo completo de EIPD bajo normas españolas.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.