La Agencia Española de Protección de Datos (AEPD) emitió 847 resoluciones sancionadoras en 2023 — el mayor número de decisiones de cumplimiento de cualquier autoridad de protección de datos de la UE. Aunque las multas individuales suelen ser más pequeñas que los casos destacados del RGPD de la DPC irlandesa o de la AP holandesa, el alto volumen de cumplimiento de la AEPD crea una exposición significativa al cumplimiento para cualquier organización con operaciones en España.
Marco de Cumplimiento de IA de la AEPD
La AEPD ha publicado la guía de protección de datos específica para IA más completa de la UE, que incluye:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, actualizado 2024): La guía de IA de la AEPD requiere un DPIA para cualquier sistema de IA que procese datos personales — independientemente de si el procesamiento de IA cumple con el umbral de riesgo del Artículo 35 del RGPD para DPIAs obligatorios. Este es uno de los requisitos de DPIA más expansivos de la UE.
Implementación de la Ley de IA española: España se encuentra entre los primeros Estados miembros de la UE con un registro nacional de IA para sistemas de IA de alto riesgo. La AEPD coordina con el organismo de supervisión de IA de España para hacer cumplir los requisitos combinados de la Ley de IA + RGPD.
Identificadores Nacionales Españoles: La Brecha de Detección
Las herramientas genéricas de PLN detectan DNI y NIE con solo un 34% de precisión en documentos en español (análisis de la AEPD 2024). Entender por qué requiere comprender las estructuras de los identificadores:
DNI (Documento Nacional de Identidad): 8 dígitos + 1 letra de control. La letra de control se calcula como el resto del número dividido por 23, mapeado a una secuencia de letras específica (no A-Z — ciertas letras están excluidas). Este algoritmo de letra a número es específico de España y no se implementa en herramientas genéricas.
Ejemplo: DNI 12345678Z — la letra Z se determina por 12345678 mod 23 = posición en la secuencia de letras. Las herramientas que detectan números de 8 dígitos sin la validación de la letra, o que validan solo el patrón sin el cálculo del módulo, generan falsos positivos y falsos negativos.
NIE (Número de Identificación de Extranjeros): Formato X/Y/Z + 7 dígitos + letra de control. El NIE se asigna a extranjeros en España para fines fiscales y administrativos. Los tres formatos (prefijo X, Y, Z) reflejan diferentes períodos de emisión. Se aplica el mismo algoritmo de letra de control. El NIE aparece en registros de empleo, contratos y documentos fiscales para la significativa población extranjera de España.
CIF/NIF empresarial: El número de identificación fiscal de la empresa, formato 1 letra + 7 dígitos + carácter de control (dígito o letra). La primera letra indica el tipo de empresa (A=S.A., B=S.L., etc.), y el carácter de control utiliza un algoritmo diferente al del DNI/NIE.
Tarjeta Sanitaria Individual: El número de la tarjeta sanitaria nacional de España. El formato varía según la región — las comunidades autónomas españolas (Cataluña, Madrid, Andalucía, etc.) utilizan diferentes formatos de tarjeta sanitaria. Esta fragmentación hace que la detección automatizada sea un desafío.
Español de América Latina: Cumplimiento de la AEPD en un Contexto Global
La conexión lingüística e histórica de España con América Latina crea una dimensión de cumplimiento que se extiende más allá de las fronteras de España. Las organizaciones con operaciones en mercados de habla hispana necesitan herramientas de PII que cubran:
México: CURP (Clave Única de Registro de Población) — codificación alfanumérica de 18 caracteres que incluye fecha de nacimiento, sexo, estado de nacimiento e iniciales del nombre. RFC (Registro Federal de Contribuyentes) — ID fiscal alfanumérico de 13 caracteres para individuos, 12 para empresas.
Argentina: CUIL (Código Único de Identificación Laboral) — formato de 11 dígitos con dígito de verificación (prefijo + CUIT + verificación). CUIT (Código Único de Identificación Tributaria) — mismo formato que CUIL. DNI argentino — identificación nacional de 7-8 dígitos.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 dígitos + guion + dígito de verificación (dígito o K). El dígito de verificación utiliza un algoritmo de módulo-11. Cada individuo y entidad empresarial chilena tiene un RUT.
Colombia: Cédula de Ciudadanía — identificación nacional de 8-10 dígitos. NIT (Número de Identificación Tributaria) — 9 dígitos + dígito de verificación para empresas.
Para organizaciones multinacionales que sirven a mercados de habla hispana en España y América Latina, la cobertura de herramientas de PII de ambos identificadores españoles de la UE (DNI, NIE, CIF) y identificadores nacionales de América Latina (CURP, RUT, CUIL, Cédula) es necesaria para el cumplimiento de la AEPD y el cumplimiento de la LGPD/autoridad de protección de datos local en cada país.
Enfoque de Cumplimiento de la AEPD en 2024
847 decisiones de cumplimiento — el mayor número de la UE — reflejan la alta recepción de quejas de la AEPD y la aplicación sistemática. Sectores clave:
Telecomunicaciones y servicios financieros: 42% de las resoluciones de la AEPD. Consultas de crédito no autorizadas, retención excesiva de datos y consentimiento inadecuado para marketing.
Salud y seguros: 22% de las resoluciones. Compartición de datos de salud sin consentimiento, desidentificación inadecuada para uso de investigación y procesamiento biométrico para gestión de citas.
Empleo: 19% de las resoluciones. Monitoreo de empleados, revisión de redes sociales y videovigilancia sin notificación adecuada.
Sistemas de IA: Categoría en crecimiento — la AEPD encontró múltiples empresas españolas implementando IA sin DPIAs completados, en violación del requisito de DPIA obligatorio de la guía de IA de la AEPD.
La detección de DNI/NIE con validación de letra de control, NER en español (spaCy es_core_news) y cobertura de identificadores latinoamericanos para CURP, RUT, CUIL y Cédula representan los requisitos técnicos básicos para un cumplimiento integral de PII en español.
Fuentes: