스페인 AEPD: AI 및 직원 데이터 보호 규정
2026년 기준 업데이트
AEPD: 건수 기준 EU 최다 집행 기관
AEPD(Agencia Española de Protección de Datos)는 스페인의 개인정보 보호 감독 기관입니다. 2023년 847건의 과징금을 부과했으며, 다른 EU 기관은 이 수치에 근접하지 못했습니다. 그해 총 과징금은 1,200만 유로를 상회했습니다.
기관은 대부분의 EU 동료 기관과 다르게 운영됩니다. 대형 과징금에만 집중하지 않고, 소기업, 지방자치단체, 중소 규모 기관도 대상으로 삼습니다. 이를 통해 스페인 경제 전반에 압박이 고르게 분산됩니다.
2024년 주요 집행 분야:
- 카메라 및 생체인식 확인(사건의 29%)
- 마케팅 및 원치 않는 연락(사건의 24%)
- 직원 모니터링 및 HR 파일(사건의 18%)
- AI 시스템 및 자동화된 결정(사건의 15% — 증가 추세)
- 건강 및 특수 범주 데이터(사건의 14%)
AEPD의 AI DPIA 규정
규제 기관의 2024년 Guía de adecuación al RGPD de tratamientos con IA는 하나의 명확한 규칙을 제시합니다. 개인정보를 처리하는 모든 AI 도구는 DPIA(데이터 보호 영향 평가)가 필요합니다.
GDPR 제35조는 처리가 높은 위험을 수반할 때 DPIA를 요구합니다. 이는 맥락에 따른 판단입니다. 스페인 기관은 더 엄격한 입장을 취합니다. 가이드에 따르면 개인정보를 처리하는 모든 ML 도구는 DPIA 규정을 발동시키며, 사전에 개별적인 위험 평가가 필요하지 않습니다.
스페인 기관은 다음에 대해 DPIA를 실시하고 제출해야 합니다:
- 고객 서비스 챗봇
- 채용 심사 도구
- 마케팅 도구
- 텍스트 처리 모델(익명화 도구 포함)
- 직원 또는 고객 데이터를 처리하는 모든 AI 도구
스페인에서 사용되는 각 도구는 별도의 DPIA 파일이 필요합니다. 도구가 저위험으로 보이더라도 적용됩니다.
AEPD 익명화 기준
기관의 익명화 가이드는 CNIL의 작업을 기반으로 하며, 국가 ID에 관한 스페인 특유의 규칙을 추가합니다:
스페인 ID 유형:
- DNI(Documento Nacional de Identidad): 8자리 숫자 + 확인 문자
- NIE(Número de Identificación de Extranjero): 문자 + 7자리 + 문자, 외국 국적자용
- NIF(Número de Identificación Fiscal): DNI와 동일한 형식, 세금 목적으로 사용
- Número de Seguridad Social: 스페인 사회보장번호
기관은 NER 모델이 NIE 번호를 자주 누락한다고 지적합니다. 스페인에는 이민자 인구가 많습니다. 비스페인 국적자의 파일을 처리할 때 도구가 NIE를 탐지할 수 있는지 확인하십시오.
스페인식 이름 패턴:
스페인 이름은 두 개의 성(apellidos compuestos)을 사용합니다. 단일 성으로 학습된 NER 모델은 여기서 실패할 수 있습니다. "García López, Juan Carlos"는 성이 두 개이지, 하나가 아닙니다. 스페인어 NER 모델은 이를 처리할 수 있어야 합니다.
AEPD 직원 모니터링 사례
사건의 18%가 직원 모니터링과 관련됩니다. 스페인은 Estatuto de los Trabajadores(근로자 규약)에 따라 고용주의 통제를 제한합니다. 규제 기관은 GDPR과 함께 이 제한을 집행합니다.
당국의 주요 입장:
- 키로거: 은밀한 키로거 사용은 대부분의 경우 GDPR 위반입니다. 스크린샷 도구는 서면 증빙과 공정성 검토가 필요합니다.
- GPS 추적: 업무용 차량에서 직원에게 명확히 고지한 경우 허용됩니다. 개인 차량에서는 허용되지 않습니다.
- 이메일 확인: 사전 서면 고지 및 정책이 있는 경우 허용됩니다. 콘텐츠 검토에는 추가 증빙이 필요합니다.
- AI 추적 도구: 직원 행동을 추적하는 모든 모델은 DPIA가 필요합니다. EDPB 규정도 적용됩니다.
자동화된 모니터링은 스페인 DPA의 가장 엄격한 검토 대상입니다.
AEPD 준수 AI 문서화
AI 도구를 사용하는 스페인 기관에는 네 가지 문서 세트가 필요합니다.
1. AI 시스템 목록
스페인 개인정보를 처리하는 각 도구를 목록화하십시오. 시스템 이름, 공급업체, 목적, 데이터 유형, 보존 기간, DPA 현황을 기록하십시오.
2. 시스템별 DPIA
기관이 발표한 DPIA 템플릿을 사용하십시오. 다음 내용을 포함하십시오:
- 목적, 법적 근거, 데이터 유형, 수신자
- 공정성 검토
- 영향을 받는 개인에 대한 위험 평가
- 위험 통제 수단: 기술적 조치와 절차적 조치
- DPO 의견(DPO가 요구되는 경우)
3. 기술적 통제 기록
각 도구에 대해 무단 접근을 차단하는 통제 수단을 기록하십시오:
- 전송 전 필터링(모델 실행 전 개인정보 제거)
- 출력에 대한 접근 통제
- 보존 제한과 그 집행
- 침해 감지 및 대응 단계
4. 직원 모니터링 정책
직원을 모니터링하는 도구가 있는 경우 서면 정책을 추가하십시오. 범위를 명시하고, 직원에게 고지하며, 법적 근거를 명시하고, 공정성 검토를 보여주십시오.
AEPD 감사는 목록과 DPIA부터 시작합니다. 이 파일을 준비해 둔 기관은 감사를 훨씬 빠르게 해결합니다. 문서 범위는 GDPR 준수 가이드를 참조하십시오. 기술적 통제는 보안 준수 개요를 참조하십시오. 스페인어 개인정보 탐지는 다국어 개인정보 탐지 가이드를 참조하십시오.