anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

AEPD Spagna: DNI, NIE e Identificatori LATAM

L'AEPD ha emesso 847 risoluzioni sanzionatorie nel 2023 — il numero più alto nell'UE. DNI/NIE rilevati con solo il 34% di accuratezza dagli strumenti generici.

June 5, 20269 min di lettura
Spain AEPDDNI NIE detectionSpanish language PIILatin America complianceGDPR AI

AEPD Spagna: DNI, NIE e Identificatori LATAM

L'autorità spagnola per la protezione dei dati, l'AEPD, ha emesso 847 decisioni di enforcement nel 2023 — il numero più alto di qualsiasi regolatore europeo. Le singole sanzioni sono spesso inferiori rispetto ai casi dell'ICO irlandese o dell'AP olandese, ma il volume crea un rischio concreto per qualsiasi azienda con operazioni in Spagna.

Il Quadro di Enforcement AI dell'AEPD

Il regolatore spagnolo ha pubblicato le linee guida AI più dettagliate dell'UE in materia di protezione dei dati, con due aree di intervento principali.

Guida AI e GDPR (2020, aggiornata 2024): Questa guida richiede una DPIA per qualsiasi sistema AI che tratti dati personali, anche quando non vengono raggiunte le soglie dell'Articolo 35 del GDPR. Si tratta di una delle norme DPIA più ampie dell'UE. Ogni azienda che utilizza AI su dati spagnoli deve completare una DPIA prima del lancio.

Attuazione dell'AI Act spagnolo: La Spagna è tra i primi stati UE ad aver istituito un registro nazionale AI per i sistemi ad alto rischio. L'AEPD collabora con l'organismo spagnolo di supervisione dell'AI per far rispettare sia l'AI Act che le norme GDPR. Le aziende sono esposte al rischio di audit da parte di entrambe le autorità.

Identificatori Nazionali Spagnoli: La Lacuna nel Rilevamento

Gli strumenti NLP generici rilevano DNI e NIE con solo il 34% di accuratezza nei documenti spagnoli, come riportato dall'AEPD nel suo rapporto 2024. Ogni identificatore ha una struttura che spiega il fallimento degli strumenti generici.

DNI: Otto cifre più una lettera di controllo. La lettera deriva dal resto della divisione del numero per 23, che corrisponde a una sequenza fissa di lettere. Alcune lettere sono escluse — non si tratta di una semplice sequenza A-Z. Questo algoritmo è specifico della Spagna. Gli strumenti generici lo omettono. Uno strumento che verifica solo il pattern numerico, senza il passaggio del modulo, produce risultati errati.

NIE: Una lettera prefisso (X, Y o Z), sette cifre, poi una lettera di controllo. Il NIE è destinato ai cittadini stranieri in Spagna e serve per uso fiscale e amministrativo. Ogni prefisso riflette un diverso periodo di emissione. La lettera di controllo utilizza lo stesso algoritmo del DNI. Il NIE compare nei contratti di lavoro, nelle dichiarazioni fiscali e nei documenti di residenza.

CIF (codice fiscale aziendale): Una lettera più sette cifre più un carattere di controllo. La lettera iniziale indica il tipo di società. Il carattere di controllo utilizza un algoritmo diverso da quello del DNI e del NIE.

Tessera sanitaria: Il formato della tessera sanitaria spagnola varia per regione. Ogni comunità autonoma ha un proprio formato, rendendo il rilevamento automatizzato più difficile rispetto a uno standard nazionale unico.

Per ulteriori informazioni sulle lacune negli identificatori europei, vedere la nostra guida alle lacune negli identificatori UE.

Identificatori Latinoamericani: Conformità su Mercati Diversi

I legami della Spagna con l'America Latina estendono gli obblighi di conformità oltre i confini spagnoli. Qualsiasi azienda che serva mercati di lingua spagnola necessita di una copertura PII più ampia.

Messico: Il CURP è un codice alfanumerico di 18 caratteri che codifica data di nascita, sesso, stato di nascita e iniziali del nome. Il RFC è un codice fiscale di 13 caratteri per le persone fisiche e di 12 per le società. Entrambi compaiono nei documenti di lavoro e fiscali.

Argentina: Il CUIL è un numero a 11 cifre con una cifra di controllo. Il CUIT utilizza lo stesso formato. Il documento d'identità nazionale argentino ha da 7 a 8 cifre. Tutti e tre compaiono in documenti relativi a buste paga, banca e amministrazione pubblica.

Cile: Il RUT e il RUN sono composti da 7 a 9 cifre, un trattino e una cifra di controllo. La verifica utilizza un algoritmo modulo-11. Ogni persona e azienda in Cile ne ha uno. Il rilevamento deve implementare il passaggio della cifra di controllo per evitare corrispondenze false.

Colombia: Il documento d'identità nazionale ha da 8 a 10 cifre. Il NIT è composto da nove cifre più una cifra di controllo e si applica alle aziende.

Una copertura completa per i mercati di lingua spagnola richiede sia gli identificatori EU spagnoli sia i codici identificativi nazionali latinoamericani. La nostra guida globale agli identificatori PII li confronta con l'SSN statunitense, l'Aadhaar indiano e altri codici nazionali.

Analisi dell'Enforcement AEPD nel 2024

847 decisioni di enforcement è il conteggio più alto dell'UE. Il regolatore spagnolo raggiunge questo risultato attraverso un elevato volume di reclami ricevuti e controlli attivi per settore. I casi si suddividono così:

Telecomunicazioni e servizi finanziari: 42% delle risoluzioni. Problemi principali: verifiche creditizie non autorizzate, conservazione eccessiva dei dati e consenso mancante per il marketing.

Sanità e assicurazioni: 22% delle risoluzioni. Dati sanitari condivisi senza consenso, de-identificazione inadeguata per la ricerca e trattamento biometrico per i sistemi di prenotazione.

Lavoro: 19% delle risoluzioni. Monitoraggio dei dipendenti, screening dei social media e videosorveglianza senza adeguata informativa.

Sistemi AI: Una categoria in crescita. L'autorità ha riscontrato diverse aziende spagnole che utilizzano AI senza DPIA completate, in violazione della stessa guida AI dell'AEPD.

Lo standard tecnico di base per la conformità PII spagnola è il rilevamento di DNI e NIE con validazione della lettera di controllo. A questo si aggiunge il riconoscimento delle entità nominali in lingua spagnola. Poi si aggiunge la copertura di CURP, RUT, CUIL e documenti d'identità nazionali per il supporto completo all'America Latina.

Vedere la nostra guida alla conformità DPIA AI dell'AEPD per l'intero flusso di lavoro DPIA secondo le norme spagnole.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.