AEPD Espanja: DNI, NIE ja Latinalaisen Amerikan Tunnisteet
Espanjan tietosuojaviranomainen AEPD antoi 847 täytäntöönpanopäätöstä vuonna 2023. Tämä on korkein lukumäärä miltään EU:n viranomaiselta. Yksittäiset sakot ovat usein pienempiä kuin Irlannin DPC:n tai Hollannin AP:n tapauksissa. Mutta volyymi luo todellisen riskin kaikille Espanjassa toimiville yrityksille.
AEPD:n Tekoälyn Täytäntöönpanokehys
Espanjan viranomainen on julkaissut EU:n yksityiskohtaisimmat tekoälyohjeet tietosuojaa varten. Ne kattavat kaksi aluetta.
Tekoäly ja GDPR-opas (2020, päivitetty 2024): Tämä opas edellyttää DPIAa jokaiselle tekoälyjärjestelmälle, joka käsittelee henkilötietoja. Se koskee myös tilanteita, joissa GDPR:n 35 artiklan kynnysarvoja ei ole saavutettu. Tämä on yksi EU:n laajimmista DPIA-säännöistä. Jokaisen espanjalaisilla tiedoilla tekoälyä käyttävän yrityksen on suoritettava DPIA ennen käyttöönottoa.
Espanjan tekoälylain täytäntöönpano: Espanja on yksi EU:n ensimmäisistä valtioista, joilla on kansallinen tekoälyrekisteri korkean riskin järjestelmille. AEPD toimii yhdessä Espanjan tekoälyvalvontaelimen kanssa. Yhdessä ne valvovat sekä tekoälylakia että GDPR-sääntöjä. Yrityksiin kohdistuu auditointiriski molemmilta viranomaisilta.
Espanjalaiset Kansallistunnisteet: Tunnistusaukko
Yleiset NLP-työkalut tunnistavat DNI:n ja NIE:n vain 34 %:n tarkkuudella espanjalaisista asiakirjoista. AEPD raportoi tämän vuoden 2024 raportissaan. Jokaisella tunnisteella on rakenne, joka selittää, miksi yleiset työkalut epäonnistuvat.
DNI: Kahdeksan numeroa plus yksi tarkistuskirjain. Kirjain tulee numeron jakojäännöksestä jaettaessa 23:lla. Tämä arvo kuvautuu kiinteään kirjainjonoon. Tietyt kirjaimet ovat suljettuja pois — se ei ole A:sta Z:aan. Tämä algoritmi on Espanja-spesifinen. Yleiset työkalut ohittavat sen. Työkalu, joka tarkistaa vain numerokuvion ilman modulo-vaihetta, tuottaa virheellisiä tuloksia.
NIE: Yksi etuliitekirjain (X, Y tai Z), seitsemän numeroa, sitten tarkistuskirjain. NIE on Espanjassa asuville ulkomaalaisille. Se kattaa verotuksen ja hallinnolliset asiat. Jokainen etuliite heijastaa eri myöntämiskautta. Tarkistuskirjain käyttää samaa algoritmia kuin DNI. NIE esiintyy työsopimuksissa, verolähettämisissä ja asumiasiakirjoissa.
CIF yritysverotunnus: Yksi kirjain plus seitsemän numeroa plus tarkistusmerkki. Avaava kirjain osoittaa yrityksen tyypin. Tarkistusmerkki käyttää erillistä algoritmia kuin DNI ja NIE.
Terveyskortti: Espanjan terveyskortin muoto vaihtelee alueen mukaan. Jokaisella autonomisella yhteisöllä on oma muotonsa. Tämä tekee automaattisesta tunnistuksesta vaikeampaa kuin yhdellä kansallisella standardilla.
Lisätietoja tunnisteaukoista eri EU-maissa löydät EU:n tunnisteiden aukko-oppaastamme.
Latinalaisen Amerikan Tunnisteet: Vaatimustenmukaisuus Markkinoilla
Espanjan yhteydet Latinalaiseen Amerikkaan lisäävät vaatimustenmukaisuusvaatimuksia Espanjan ulkopuolelle. Mikä tahansa espanjankielisiä markkinoita palveleva yritys tarvitsee laajempaa henkilötietokattavuutta.
Meksiko: CURP on 18-merkkinen aakkosnumeerinen koodi. Se koodaa syntymäajan, sukupuolen, syntymäosavaltion ja nimikirjaimet. RFC on 13-merkkinen verotunnus yksityishenkilöille ja 12 merkkiä yrityksille. Molemmat esiintyvät työsuhde- ja veroasiakirjoissa.
Argentiina: CUIL on 11-numeroinen luku tarkistusnumerolla. CUIT käyttää samaa muotoa. Argentiinalainen kansallistunnus on 7–8 numeroa. Kaikki kolme esiintyvät palkanlaskennassa, pankkiasioinnissa ja viranomaisasiakirjoissa.
Chile: RUT ja RUN ovat 7–9 numeroa, viiva ja tarkistusnumero. Tarkistus käyttää modulo-11-algoritmia. Jokaisella henkilöllä ja yrityksellä Chilessä on sellainen. Tunnistuksen on toteutettava tarkistusnumerovaihe väärän täsmäytyksen välttämiseksi.
Kolumbia: Kansallinen henkilökorttinumero on 8–10 numeroa. NIT on yhdeksän numeroa plus tarkistusnumero ja koskee yrityksiä.
Täydellinen kattavuus espanjankielisille markkinoille tarkoittaa sekä Espanjan EU-tunnisteita että Latinalaisen Amerikan kansallisia henkilökortteja. Globaali henkilötietojen tunniste-opas vertailee näitä yhdysvaltalaisen SSN:n, intialaisen Aadharin ja muiden kansallisten tunnisteiden kanssa.
AEPD:n Vuoden 2024 Täytäntöönpanon Erittely
847 täytäntöönpanopäätöstä on EU:n korkein lukumäärä. Espanjan viranomainen saavuttaa tämän korkean valitusvastaanoton ja aktiivisten sektorikierrosten avulla. Tapaukset jakautuvat sektoreittain:
Telecom ja rahoituspalvelut: 42 % päätöksistä. Pääongelmat: luvaton luottotarkastus, liiallinen säilytys ja puuttuva suostumus markkinointiin.
Terveydenhuolto ja vakuutukset: 22 % päätöksistä. Terveystietoja jaettu ilman suostumusta, heikko de-identifiointi tutkimuksessa ja biometrinen käsittely ajanvarausjärjestelmissä.
Työsuhde: 19 % päätöksistä. Työntekijöiden valvonta, sosiaalisen median seulonta ja videovalvonta ilman asianmukaista ilmoitusta.
Tekoälyjärjestelmät: Kasvava kategoria. Viranomainen havaitsi useita espanjalaisia yrityksiä, jotka käyttivät tekoälyä ilman valmiita DPIAita. Tämä rikkoo AEPD:n omia tekoälyohjeita.
Espanjalaisen henkilötietojen vaatimustenmukaisuuden tekninen perustaso on DNI- ja NIE-tunnistus tarkistuskirjainvalidoinnilla. Lisää espanjankielinen nimettyjen kohteiden tunnistus. Lisää sitten CURP-, RUT-, CUIL- ja kansallisten henkilökorttien kattavuus täydelliseen Latinalaisen Amerikan tukeen.
Katso AEPD:n tekoälyn DPIA-vaatimustenmukaisuusopas täydelliseen DPIA-työnkulkuun Espanjan sääntöjen mukaisesti.