Espanjan Agencia Española de Protección de Datos (AEPD) antoi 847 seuraamusratkaisua vuonna 2023 — eniten minkään EU:n tietosuojaviranomaisen antamia täytäntöönpanopäätöksiä. Vaikka yksittäiset sakot ovat usein pienempiä kuin irlantilaisen DPC:n tai hollantilaisen AP:n otsikkotapaukset, AEPD:n korkea täytäntöönpanomäärä luo merkittävän yhteensopivuusaltistuksen kaikille organisaatioille, joilla on toimintaa Espanjassa.
AEPD:n tekoälyyn perustuva täytäntöönpanokehys
AEPD on julkaissut EU:n kattavimmat tekoälyyn liittyvät tietosuojan ohjeet, mukaan lukien:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, päivitetty 2024): AEPD:n tekoälyohje vaatii DPIA:n kaikille tekoälyjärjestelmille, jotka käsittelevät henkilötietoja — riippumatta siitä, täyttääkö tekoälyn käsittely GDPR:n artiklan 35 riskikynnyksen pakollisille DPIA:ille. Tämä on yksi laajimmista DPIA-vaatimuksista EU:ssa.
Espanjan tekoälylain täytäntöönpano: Espanja on yksi ensimmäisistä EU:n jäsenvaltioista, joilla on kansallinen tekoälyrekisteri korkean riskin tekoälyjärjestelmille. AEPD koordinoi Espanjan tekoälyn valvontaviranomaisen kanssa yhdistettyjen tekoälylain + GDPR-vaatimusten täytäntöönpanemiseksi.
Espanjan kansalliset tunnisteet: Havaitsemisaukko
Yleisillä NLP-työkaluilla havaitaan DNI ja NIE vain 34 % tarkkuudella espanjankielisissä asiakirjoissa (AEPD 2024 analyysi). Ymmärtäminen miksi vaatii tunnisteiden rakenteiden ymmärtämistä:
DNI (Documento Nacional de Identidad): 8 numeroa + 1 tarkistusmerkki. Tarkistusmerkki lasketaan jakamalla numero 23:lla ja ottamalla jäljelle jäävä osa, joka kartoitetaan tiettyyn kirjainjärjestykseen (ei A-Z — tietyt kirjaimet on suljettu pois). Tämä numero-kirjain-algoritmi on Espanja-spesifinen eikä sitä ole toteutettu yleisissä työkaluissa.
Esimerkki: DNI 12345678Z — kirjain Z määräytyy 12345678 mod 23 = sijainti kirjainjärjestyksessä. Työkalut, jotka havaitsevat 8-numeroisia lukuja ilman kirjaintarkistusta tai jotka validoivat vain kuvion ilman modulus-laskentaa, tuottavat vääriä positiivisia ja vääriä negatiivisia tuloksia.
NIE (Número de Identificación de Extranjeros): Muoto X/Y/Z + 7 numeroa + tarkistusmerkki. NIE myönnetään ulkomaalaisille Espanjassa verotusta ja hallinnollisia tarkoituksia varten. Kolme muotoa (X, Y, Z etuliite) heijastavat erilaisia myöntämisaikoja. Sama tarkistusmerkki-algoritmi pätee. NIE esiintyy työsuhteissa, sopimuksissa ja verodokumenteissa Espanjan merkittävän ulkomaalaisväestön keskuudessa.
CIF/NIF empresarial: Yrityksen verotunnusnumero, muoto 1 kirjain + 7 numeroa + tarkistusmerkki (numero tai kirjain). Ensimmäinen kirjain osoittaa yritystyypin (A=S.A., B=S.L., jne.), ja tarkistusmerkki käyttää eri algoritmia kuin DNI/NIE.
Tarjeta Sanitaria Individual: Espanjan kansallinen terveydenhuoltokortin numero. Muoto vaihtelee alueittain — Espanjan autonomiset yhteisöt (Katalonia, Madrid, Andalucía, jne.) käyttävät erilaisia terveydenhuoltokortin muotoja. Tämä fragmentaatio tekee automaattisesta havaitsemisesta haastavaa.
Latinalainen Amerikka: AEPD-yhteensopivuus globaalissa kontekstissa
Espanjan kieli- ja historiallinen yhteys Latinalaiseen Amerikkaan luo yhteensopivuusulottuvuuden, joka ulottuu Espanjan rajojen yli. Organisaatioilla, joilla on toimintaa espanjankielisillä markkinoilla, on tarpeen käyttää PII-työkaluja, jotka kattavat:
Meksiko: CURP (Clave Única de Registro de Población) — 18-merkkinen alfanumeerinen koodaus syntymäpäivälle, sukupuolelle, syntymäosavaltiolle ja nimen alkukirjaimille. RFC (Registro Federal de Contribuyentes) — 13-merkkinen alfanumeerinen verotunnus yksityishenkilöille, 12 yrityksille.
Argentiina: CUIL (Código Único de Identificación Laboral) — 11-numeroisen muodon tarkistusnumero (etuliite + CUIT + tarkistus). CUIT (Código Único de Identificación Tributaria) — sama muoto kuin CUIL. Argentiinalainen DNI — 7-8 numeroa kansallinen ID.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 numeroa + viiva + tarkistusnumero (numero tai K). Tarkistusnumero käyttää modulus-11-algoritmia. Jokaisella chileläisellä yksilöllä ja liiketoimintayksiköllä on RUT.
Kolumbia: Cédula de Ciudadanía — 8-10 numeroa kansallinen ID. NIT (Número de Identificación Tributaria) — 9 numeroa + tarkistusnumero yrityksille.
Monikansallisille organisaatioille, jotka palvelevat espanjankielisiä markkinoita Espanjassa ja Latinalaisessa Amerikassa, PII-työkalujen kattavuus sekä Espanjan EU-tunnisteille (DNI, NIE, CIF) että Latinalaisen Amerikan kansallisille tunnisteille (CURP, RUT, CUIL, Cédula) on vaadittava AEPD-yhteensopivuuden ja LGPD/paikallisen DPA-yhteensopivuuden varmistamiseksi jokaisessa maassa.
AEPD:n täytäntöönpanon painopiste 2024
847 täytäntöönpanopäätöstä — EU:n korkein määrä — heijastaa AEPD:n suurta valitusten vastaanottomäärää ja systemaattista täytäntöönpanoa. Keskeiset sektorit:
Telekommunikaatio ja rahoituspalvelut: 42 % AEPD:n päätöksistä. Luvattomat luottotarkastukset, liiallinen tietojen säilyttäminen ja riittämätön suostumus markkinointiin.
Terveydenhuolto ja vakuutukset: 22 % päätöksistä. Terveyden tietojen jakaminen ilman suostumusta, riittämätön anonymisointi tutkimuskäyttöön ja biometrinen käsittely ajanvarauksen hallintaan.
Työllisyys: 19 % päätöksistä. Työntekijöiden valvonta, sosiaalisen median tarkistus ja videovalvonta ilman riittävää ilmoitusta.
Tekoälyjärjestelmät: Kasvava kategoria — AEPD havaitsi useita espanjalaisia yrityksiä, jotka käyttivät tekoälyä ilman valmiita DPIA:ita, mikä rikkoo AEPD:n tekoälyohjeen pakollista DPIA-vaatimusta.
DNI/NIE-havainto tarkistusmerkki validoinnilla, espanjankielinen NER (spaCy es_core_news) ja Latinalaisen Amerikan tunnisteiden kattavuus CURP, RUT, CUIL ja Cédula edustavat kattavan espanjankielisen PII-yhteensopivuuden perus teknisiä vaatimuksia.
Lähteet: