AEPD Espanha: IA e Proteção de Dados dos Trabalhadores
Atualizado para 2026
AEPD: a autoridade de controlo mais ativa da UE
A AEPD (Agencia Española de Protección de Datos) é o organismo espanhol de proteção da privacidade. Emitiu 847 resoluções sancionatórias em 2023. Nenhuma outra autoridade da UE chegou perto desse número. O total de sanções nesse ano ultrapassou 12 milhões de euros.
O método da agência difere da maioria dos seus homólogos europeus. Não se concentra apenas em grandes coimas contra grandes empresas. Também atua contra PME, autarquias e organizações de médio porte. Isto cria uma pressão ampla em toda a economia espanhola.
Principais áreas de atuação em 2024:
- Câmeras e controlos biométricos (29 % dos casos)
- Marketing e contactos não solicitados (24 % dos casos)
- Vigilância de trabalhadores e dossiers de RH (18 % dos casos)
- Sistemas de IA e decisões automatizadas (15 % dos casos — em crescimento)
- Dados de saúde e categorias especiais (14 % dos casos)
A obrigação de AIPD para sistemas de IA segundo a AEPD
A Guía de adecuación al RGPD de tratamientos con IA do regulador (2024) estabelece uma regra clara. Qualquer ferramenta de IA que trate dossiers pessoais necessita de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD).
O artigo 35.º do RGPD exige AIPDs quando o tratamento seja «suscetível de resultar num risco elevado». É um teste contextual. A autoridade espanhola adota uma posição mais rigorosa. As suas orientações estabelecem que qualquer ferramenta ML que toque dossiers pessoais aciona a obrigação de AIPD. Não é necessária uma análise prévia caso a caso.
As organizações espanholas devem realizar e documentar AIPDs para:
- Chatbots de apoio ao cliente
- Ferramentas de triagem de candidatos
- Ferramentas de marketing
- Modelos de processamento de texto (incluindo ferramentas de anonimização)
- Qualquer ferramenta de IA que processe dossiers de trabalhadores ou clientes
Cada ferramenta utilizada em Espanha necessita do seu próprio dossier de AIPD. Isto aplica-se mesmo que a ferramenta pareça de baixo risco.
Normas de anonimização da AEPD
O guia de anonimização da agência baseia-se no trabalho da CNIL. Acrescenta requisitos específicos para Espanha relativos a identificadores nacionais:
Tipos de identificadores espanhóis:
- DNI (Documento Nacional de Identidad): número de 8 dígitos mais letra de controlo
- NIE (Número de Identificación de Extranjero): letra + 7 dígitos + letra, para cidadãos estrangeiros
- NIF (Número de Identificación Fiscal): mesmo formato que o DNI, utilizado para fins fiscais
- Número de Seguridad Social: número da Segurança Social espanhola
A autoridade salienta que os modelos NER frequentemente não detetam os números NIE. Espanha tem uma grande população imigrante. Verifique se as suas ferramentas detetam NIEs quando trata dossiers de cidadãos não espanhóis.
Padrões de nomes espanhóis:
A tradição espanhola usa dois apelidos (apellidos compuestos). Os modelos NER treinados com dados de apelido único podem falhar aqui. O nome «García López, Juan Carlos» tem dois apelidos, não um composto. Os modelos NER em espanhol devem processar corretamente esta estrutura.
Casos de vigilância de trabalhadores julgados pela AEPD
Dezoito por cento dos casos envolvem vigilância de trabalhadores. Espanha limita o controlo do empregador através do Estatuto de los Trabajadores. O regulador aplica estes limites em conjunto com o RGPD.
Posições-chave da autoridade:
- Keyloggers: A instalação encoberta de keyloggers constitui uma violação do RGPD na maioria dos casos. As ferramentas de captura de ecrã requerem justificação escrita e uma análise de proporcionalidade.
- Rastreamento GPS: Permitido em veículos de serviço com comunicação prévia aos trabalhadores. Proibido em veículos pessoais.
- Controlo de e-mail: Permitido com aviso prévio escrito e política documentada. A análise de conteúdo requer justificação adicional.
- Ferramentas de seguimento por IA: Todo modelo que analise o comportamento dos trabalhadores necessita de AIPD. As regras do EDPB também se aplicam.
A vigilância automatizada recebe a maior atenção da DPA espanhola.
Documentação conforme à AEPD para sistemas de IA
Para as organizações espanholas que utilizam ferramentas de IA, são necessários quatro conjuntos de documentação.
1. Inventário de sistemas de IA
Liste cada ferramenta que trate dossiers pessoais espanhóis. Indique: nome do sistema, fornecedor, finalidade, tipos de dossier, prazo de conservação e estatuto DPA.
2. AIPD por sistema
Utilize o modelo de AIPD publicado pelo regulador. Cubra:
- Finalidade, base legal, tipos de dossier e destinatários
- Verificação de proporcionalidade
- Avaliação dos riscos para as pessoas afetadas
- Medidas de controlo: técnicas e de processo
- Registo de consulta ao DPO (quando exigido)
3. Registo de medidas técnicas
Para cada ferramenta, documente os controlos que impedem o acesso não autorizado:
- Filtragem prévia (remoção de dados pessoais antes do modelo processar)
- Controlos de acesso sobre os resultados processados
- Aplicação dos prazos de conservação
- Procedimentos de deteção e resposta a incidentes
4. Política de vigilância de trabalhadores
Se alguma ferramenta monitorizar trabalhadores, adicione uma política escrita. Deve indicar o âmbito, informar os trabalhadores, identificar a base legal e demonstrar a proporcionalidade.
As auditorias da AEPD começam pelo inventário e pelas AIPDs. As organizações com estes documentos prontos resolvem as auditorias muito mais rapidamente. O nosso guia de conformidade com o RGPD abrange o âmbito da documentação. A nossa visão geral de conformidade de segurança explica os controlos técnicos. Para a deteção de dados pessoais em espanhol, consulte o nosso guia de deteção multilíngue de DCP.