anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

AEPD Espagne : Conformité au RGPD pour les PII en...

L'AEPD a émis 847 résolutions de sanction en 2023 — le plus grand nombre dans l'UE en termes de compte.

June 5, 20269 min de lecture
Spain AEPDDNI NIE detectionSpanish language PIILatin America complianceGDPR AI

AEPD Espagne : DNI, NIE et identifiants LATAM

L'autorité espagnole de protection des données, l'AEPD, a émis 847 décisions d'exécution en 2023. C'est le nombre le plus élevé parmi tous les régulateurs de l'UE. Les amendes individuelles sont souvent inférieures à celles de la DPC irlandaise ou de l'AP néerlandaise. Mais le volume crée un risque réel pour toute entreprise ayant des activités en Espagne.

Cadre d'exécution de l'AEPD pour l'IA

Le régulateur espagnol a publié les directives les plus détaillées de l'UE sur la protection des données en matière d'IA. Elles couvrent deux domaines.

Guide IA et RGPD (2020, mis à jour 2024) : Ce guide exige une analyse d'impact (AIPD) pour tout système d'IA traitant des données personnelles. Il s'applique même lorsque les seuils de l'article 35 du RGPD ne sont pas atteints. C'est l'une des règles d'AIPD les plus larges de l'UE. Toute entreprise utilisant l'IA sur des données espagnoles doit compléter une AIPD avant le lancement.

Mise en œuvre de la loi espagnole sur l'IA : L'Espagne est parmi les premiers États membres de l'UE à disposer d'un registre national d'IA pour les systèmes à haut risque. L'AEPD travaille avec l'organisme de supervision de l'IA espagnol. Ensemble, ils appliquent les règles de la loi sur l'IA et du RGPD. Les entreprises font face à un risque d'audit de la part des deux autorités.

Identifiants nationaux espagnols : l'écart de détection

Les outils NLP génériques détectent le DNI et le NIE avec seulement 34 % de précision dans les documents espagnols. L'AEPD l'a signalé dans son rapport 2024. Chaque identifiant a une structure qui explique pourquoi les outils génériques échouent.

DNI : Huit chiffres plus une lettre de contrôle. La lettre provient du reste de la division du nombre par 23. Cette valeur correspond à une séquence de lettres fixe. Certaines lettres sont exclues — ce n'est pas A à Z. Cet algorithme est propre à l'Espagne. Les outils génériques l'ignorent. Un outil qui vérifie uniquement le motif numérique, sans l'étape de modulo, produit des résultats incorrects.

NIE : Une lettre de préfixe (X, Y ou Z), sept chiffres, puis une lettre de contrôle. Le NIE est destiné aux ressortissants étrangers en Espagne. Il est utilisé à des fins fiscales et administratives. Chaque préfixe reflète une période d'émission différente. La lettre de contrôle utilise le même algorithme que le DNI. Le NIE figure dans les contrats de travail, les déclarations fiscales et les documents de résidence.

Identifiant fiscal CIF des entreprises : Une lettre plus sept chiffres plus un caractère de contrôle. La première lettre indique le type d'entreprise. Le caractère de contrôle utilise un algorithme distinct du DNI et du NIE.

Carte de santé : Le format de la carte de santé espagnole varie selon la région. Chaque communauté autonome utilise son propre format. Cela rend la détection automatique plus difficile qu'avec un standard national unique.

Pour en savoir plus sur les lacunes des identifiants dans les pays de l'UE, consultez notre guide sur les lacunes des identifiants UE.

Identifiants latino-américains : conformité sur tous les marchés

Les liens de l'Espagne avec l'Amérique latine étendent les exigences de conformité au-delà de l'Espagne. Toute entreprise desservant des marchés hispanophones a besoin d'une couverture PII plus large.

Mexique : Le CURP est un code alphanumérique de 18 caractères. Il encode la date de naissance, le sexe, l'État de naissance et les initiales du nom. Le RFC est un identifiant fiscal de 13 caractères pour les personnes physiques et de 12 pour les entreprises. Les deux figurent dans les documents d'emploi et fiscaux.

Argentine : Le CUIL est un numéro de 11 chiffres avec un chiffre de contrôle. Le CUIT utilise le même format. La carte nationale d'identité argentine comporte 7 à 8 chiffres. Les trois figurent dans les bulletins de paie, les documents bancaires et les registres gouvernementaux.

Chili : Le RUT et le RUN comportent 7 à 9 chiffres, un tiret et un chiffre de contrôle. Le contrôle utilise un algorithme modulo-11. Chaque personne et entreprise au Chili en possède un. La détection doit implémenter l'étape du chiffre de contrôle pour éviter les faux positifs.

Colombie : La carte nationale d'identité comporte 8 à 10 chiffres. Le NIT compte neuf chiffres plus un chiffre de contrôle et s'applique aux entreprises.

Une couverture complète pour les marchés hispanophones nécessite à la fois les identifiants espagnols de l'UE et les identifiants nationaux latino-américains. Notre guide mondial des identifiants PII les compare au SSN américain, à l'Aadhaar indien et à d'autres identifiants nationaux.

Bilan d'exécution 2024 de l'AEPD

847 décisions d'exécution — le nombre le plus élevé dans l'UE. Le régulateur espagnol y parvient grâce à un volume élevé de plaintes et des balayages sectoriels actifs. Les cas se répartissent par secteur :

Télécommunications et services financiers : 42 % des décisions. Principaux problèmes : vérifications de crédit non autorisées, durées de conservation excessives et absence de consentement pour le marketing.

Santé et assurance : 22 % des décisions. Données de santé partagées sans consentement, anonymisation insuffisante pour la recherche et traitement biométrique pour les systèmes de rendez-vous.

Emploi : 19 % des décisions. Surveillance des employés, contrôle des réseaux sociaux et vidéosurveillance sans notification adéquate.

Systèmes d'IA : Catégorie en croissance. L'autorité a trouvé plusieurs entreprises espagnoles exploitant l'IA sans AIPD complétée. Cela enfreint le propre guide IA de l'AEPD.

La base technique pour la conformité PII en espagnol est la détection du DNI et du NIE avec validation de la lettre de contrôle. Ajoutez la reconnaissance d'entités nommées en espagnol. Intégrez ensuite la couverture CURP, RUT, CUIL et carte nationale d'identité pour un support latino-américain complet.

Consultez notre guide de conformité AEPD IA AIPD pour le processus AIPD complet selon les règles espagnoles.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.