스페인 AEPD: DNI, NIE 및 중남미 식별자
스페인 데이터 보호 감독기관 AEPD는 2023년에 847건의 집행 결정을 내렸습니다. EU 규제기관 중 건수 기준 최고치입니다. 개별 제재금은 아일랜드 DPC나 네덜란드 AP 사례보다 작을 수 있습니다. 하지만 이 규모는 스페인에서 운영하는 기업에 실질적인 위험을 만들어냅니다.
AEPD의 AI 집행 프레임워크
스페인 규제기관은 EU에서 데이터 보호 분야의 가장 상세한 AI 지침을 발표했습니다. 두 가지 영역을 다룹니다.
AI와 GDPR 가이드(2020년, 2024년 업데이트): 이 가이드는 개인 데이터를 처리하는 모든 AI 시스템에 대해 DPIA(개인정보 영향평가)를 요구합니다. GDPR 제35조 기준을 충족하지 않는 경우에도 적용됩니다. EU에서 가장 광범위한 DPIA 규정 중 하나입니다. 스페인 데이터에 대해 AI를 운영하는 모든 기업은 출시 전에 DPIA를 완료해야 합니다.
스페인 AI법 이행: 스페인은 고위험 시스템에 대한 국가 AI 등록부를 도입한 최초의 EU 국가 중 하나입니다. AEPD는 스페인의 AI 감독 기관과 협력합니다. 두 기관이 함께 AI법과 GDPR 규정을 집행합니다. 기업은 두 기관 모두로부터 감사 위험에 노출됩니다.
스페인 국가 식별자: 감지 격차
일반 NLP 도구는 스페인 문서에서 DNI와 NIE를 34%의 정확도로만 감지합니다. AEPD가 2024년 보고서에서 밝혔습니다. 각 식별자는 일반 도구가 실패하는 이유를 보여주는 구조를 가집니다.
DNI: 숫자 8자리 + 검사 문자 1자리. 검사 문자는 숫자를 23으로 나눈 나머지 값에서 고정된 문자 시퀀스로 매핑합니다. 일부 문자는 제외됩니다 — A부터 Z까지 순서가 아닙니다. 이 알고리즘은 스페인 고유입니다. 일반 도구는 이를 건너뜁니다. 모듈러 단계 없이 숫자 패턴만 확인하는 도구는 잘못된 결과를 생성합니다.
NIE: 접두사 문자(X, Y 또는 Z) + 숫자 7자리 + 검사 문자. NIE는 스페인의 외국인을 위한 ID입니다. 세금 및 행정 용도로 사용됩니다. 각 접두사는 다른 발급 기간을 나타냅니다. 검사 문자는 DNI와 동일한 알고리즘을 사용합니다. NIE는 고용 계약서, 세금 신고서, 거주 기록에 등장합니다.
CIF 사업자 세금 ID: 문자 1개 + 숫자 7자리 + 검사 문자. 첫 번째 문자는 기업 유형을 나타냅니다. 검사 문자는 DNI 및 NIE와 다른 별도의 알고리즘을 사용합니다.
건강보험 카드: 스페인의 건강보험 카드 형식은 지역마다 다릅니다. 각 자치 지역이 자체 형식을 사용합니다. 이로 인해 단일 국가 표준보다 자동 감지가 더 어렵습니다.
EU 국가 전반의 식별자 격차에 대한 자세한 내용은 EU 식별자 격차 가이드를 참조하세요.
중남미 식별자: 여러 시장의 컴플라이언스
스페인과 중남미의 연결고리는 스페인을 넘어 컴플라이언스 요구를 확장합니다. 스페인어권 시장에 서비스를 제공하는 기업은 더 광범위한 PII 커버리지가 필요합니다.
멕시코: CURP는 18자리 영숫자 코드입니다. 생년월일, 성별, 출생 주, 이름 이니셜을 인코딩합니다. RFC는 개인의 경우 13자리, 기업의 경우 12자리 세금 ID입니다. 두 가지 모두 고용 및 세금 기록에 등장합니다.
아르헨티나: CUIL은 검사 자릿수가 있는 11자리 번호입니다. CUIT도 같은 형식을 사용합니다. 아르헨티나 주민등록번호는 7~8자리입니다. 세 가지 모두 급여, 은행, 정부 기록에 등장합니다.
칠레: RUT와 RUN은 7~9자리 + 대시 + 검사 자릿수입니다. 검사는 모듈러-11 알고리즘을 사용합니다. 칠레의 모든 개인과 기업이 하나를 가집니다. 오탐을 피하려면 감지 시 검사 자릿수 단계를 구현해야 합니다.
콜롬비아: 주민등록번호는 8~10자리입니다. NIT는 검사 자릿수가 있는 9자리로 기업에 적용됩니다.
스페인어권 시장의 완전한 커버리지는 스페인 EU 식별자와 중남미 국가 ID 모두를 의미합니다. 미국 SSN, 인도 아다르, 기타 국가 ID와의 비교는 글로벌 PII 식별자 가이드를 참조하세요.
AEPD의 2024년 집행 현황
847건의 집행 결정은 EU에서 가장 많은 건수입니다. 스페인 규제기관은 높은 민원 접수량과 적극적인 분야별 점검을 통해 이를 달성합니다. 분야별 사례 분류:
통신 및 금융 서비스: 결정의 42%. 주요 문제: 허가받지 않은 신용 조회, 과도한 보유, 마케팅 동의 누락.
의료 및 보험: 결정의 22%. 동의 없는 건강 데이터 공유, 연구 목적 비식별화 미흡, 예약 시스템의 생체 인식 처리.
고용: 결정의 19%. 직원 모니터링, 소셜 미디어 조사, 적절한 통지 없는 영상 감시.
AI 시스템: 성장하는 범주. 당국은 DPIA 없이 AI를 운영하는 여러 스페인 기업을 발견했습니다. 이는 AEPD 자체 AI 가이드 위반입니다.
스페인 PII 컴플라이언스의 기술적 기준선은 검사 문자 검증을 갖춘 DNI 및 NIE 감지입니다. 스페인어 개체명 인식을 추가하세요. 그런 다음 중남미 전체 지원을 위해 CURP, RUT, CUIL, 주민등록번호 커버리지를 추가하세요.
스페인 규정하에서의 전체 DPIA 워크플로우는 AEPD AI DPIA 컴플라이언스 가이드를 참조하세요.