AEPD Hiszpania: DNI, NIE i identyfikatory latynoamerykańskie
Hiszpański organ ochrony danych, AEPD, wydał 847 decyzji egzekucyjnych w 2023 roku. To najwyższy wynik spośród wszystkich unijnych regulatorów. Pojedyncze kary są często niższe niż w sprawach irlandzkiego DPC czy holenderskiego AP. Jednak sama liczba spraw stwarza realne ryzyko dla każdej firmy prowadzącej działalność w Hiszpanii.
Ramy egzekwowania AI przez AEPD
Hiszpański regulator opublikował najbardziej szczegółowe wytyczne AI w zakresie ochrony danych w UE. Obejmują dwa obszary.
Przewodnik AI i RODO (2020, aktualizacja 2024): Przewodnik wymaga DPIA dla każdego systemu AI przetwarzającego dane osobowe. Stosuje się go nawet gdy progi art. 35 RODO nie są osiągnięte. To jedne z najszerszych przepisów DPIA w UE. Każda firma uruchamiająca AI na hiszpańskich danych musi ukończyć DPIA przed uruchomieniem.
Wdrożenie hiszpańskiej ustawy AI: Hiszpania jest jednym z pierwszych państw UE posiadającym krajowy rejestr AI dla systemów wysokiego ryzyka. AEPD współpracuje z hiszpańskim organem nadzoru AI. Razem egzekwują przepisy zarówno ustawy AI, jak i RODO. Firmy są narażone na ryzyko audytu ze strony obu organów.
Hiszpańskie krajowe identyfikatory: Luka w wykrywaniu
Ogólne narzędzia NLP wykrywają DNI i NIE z dokładnością zaledwie 34% w hiszpańskich dokumentach. AEPD poinformowała o tym w swoim raporcie z 2024 roku. Każdy identyfikator ma strukturę wyjaśniającą dlaczego ogólne narzędzia zawodzą.
DNI: Osiem cyfr plus jedna litera kontrolna. Litera pochodzi z reszty z dzielenia liczby przez 23. Wartość ta jest mapowana na stałą sekwencję liter. Pewne litery są wykluczone — nie jest to kolejność od A do Z. Ten algorytm jest specyficzny dla Hiszpanii. Ogólne narzędzia go pomijają. Narzędzie sprawdzające jedynie wzorzec cyfrowy, bez kroku modulo, daje błędne wyniki.
NIE: Jedna litera prefiksu (X, Y lub Z), siedem cyfr, następnie litera kontrolna. NIE jest przeznaczony dla cudzoziemców w Hiszpanii. Używany do celów podatkowych i administracyjnych. Każdy prefiks odzwierciedla inny okres wydawania. Litera kontrolna używa tego samego algorytmu co DNI. NIE pojawia się w umowach o pracę, formularzach podatkowych i dokumentach pobytowych.
CIF — firmowy numer podatkowy: Jedna litera plus siedem cyfr plus znak kontrolny. Litera otwierająca wskazuje typ spółki. Znak kontrolny używa osobnego algorytmu od DNI i NIE.
Karta zdrowotna: Format hiszpańskiej karty zdrowotnej różni się w zależności od regionu. Każda wspólnota autonomiczna używa własnego formatu. Utrudnia to zautomatyzowane wykrywanie w porównaniu do jednolitego standardu krajowego.
Więcej informacji o lukach w identyfikatorach w krajach UE znajdziesz w naszym przewodniku po lukach identyfikatorów UE.
Identyfikatory latynoamerykańskie: Zgodność na różnych rynkach
Powiązania Hiszpanii z Ameryką Łacińską wymuszają rozszerzenie wymogów zgodności poza Hiszpanię. Każda firma obsługująca rynki hiszpańskojęzyczne potrzebuje szerszego pokrycia danych PII.
Meksyk: CURP to 18-znakowy kod alfanumeryczny. Koduje datę urodzenia, płeć, stan urodzenia i inicjały imienia i nazwiska. RFC to 13-znakowy numer podatkowy dla osób fizycznych i 12 znaków dla firm. Oba pojawiają się w dokumentach zatrudnieniowych i podatkowych.
Argentyna: CUIL to 11-cyfrowy numer z cyfrą kontrolną. CUIT używa tego samego formatu. Argentyński dowód osobisty ma od 7 do 8 cyfr. Wszystkie trzy pojawiają się w dokumentach płacowych, bankowych i rządowych.
Chile: RUT i RUN to od 7 do 9 cyfr, kreska i cyfra kontrolna. Kontrola używa algorytmu modulo-11. Każda osoba i firma w Chile posiada jeden. Wykrywanie musi implementować krok cyfry kontrolnej, aby uniknąć błędnych dopasowań.
Kolumbia: Krajowa karta identyfikacyjna ma od 8 do 10 cyfr. NIT to dziewięć cyfr plus cyfra kontrolna i dotyczy firm.
Pełne pokrycie rynków hiszpańskojęzycznych oznacza zarówno identyfikatory UE z Hiszpanii, jak i krajowe dokumenty tożsamości z Ameryki Łacińskiej. Nasz globalny przewodnik po identyfikatorach PII porównuje je z amerykańskim SSN, indyjskim Aadhaar i innymi krajowymi dokumentami tożsamości.
Zestawienie decyzji egzekucyjnych AEPD z 2024 roku
847 decyzji egzekucyjnych to najwyższy wynik w UE. Hiszpański regulator osiąga go dzięki wysokiej liczbie skarg i aktywnym kontrolom sektorowym. Sprawy rozkładają się sektorowo:
Telekomunikacja i usługi finansowe: 42% decyzji. Główne kwestie: nieautoryzowane weryfikacje kredytowe, nadmierne przechowywanie danych i brak zgody na marketing.
Opieka zdrowotna i ubezpieczenia: 22% decyzji. Dane zdrowotne udostępniane bez zgody, słaba deidentyfikacja dla celów badawczych i biometryczne przetwarzanie danych dla systemów rejestracji wizyt.
Zatrudnienie: 19% decyzji. Monitoring pracowników, przesiewanie mediów społecznościowych i monitoring wideo bez odpowiedniego powiadomienia.
Systemy AI: Rosnąca kategoria. Organ stwierdził, że wiele hiszpańskich firm uruchamia AI bez ukończonych DPIA. Narusza to własny przewodnik AI AEPD.
Techniczna podstawa zgodności PII dla Hiszpanii to wykrywanie DNI i NIE z walidacją litery kontrolnej. Dodaj rozpoznawanie nazwanych encji w języku hiszpańskim. Następnie dodaj pokrycie CURP, RUT, CUIL i krajowych kart identyfikacyjnych dla pełnego wsparcia latynoamerykańskiego.
Sprawdź nasz przewodnik po zgodności z DPIA AI AEPD dla pełnego przepływu pracy DPIA według hiszpańskich przepisów.