AEPD Espanha: DNI, NIE e Identificadores LATAM
A autoridade espanhola de proteção de dados, a AEPD, emitiu 847 decisões de fiscalização em 2023. É o número mais alto de qualquer regulador da UE. As multas individuais são frequentemente menores do que as da DPC irlandesa ou da AP holandesa. Mas o volume cria um risco real para qualquer empresa com operações na Espanha.
Estrutura de Fiscalização da AEPD para IA
O regulador espanhol publicou as diretrizes de IA mais detalhadas da UE para proteção de dados. Cobre duas áreas.
Guia de IA e RGPD (2020, atualizado em 2024): Este guia exige uma avaliação de impacto (DPIA) para qualquer sistema de IA que processe dados pessoais. Aplica-se mesmo quando os limites do artigo 35 do RGPD não são atingidos. É uma das regras de DPIA mais amplas da UE. Toda empresa que usa IA em dados espanhóis deve concluir uma DPIA antes do lançamento.
Implementação da Lei de IA espanhola: A Espanha está entre os primeiros estados-membros da UE com um registo nacional de IA para sistemas de alto risco. A AEPD trabalha com o órgão de supervisão de IA espanhol. Juntos, aplicam as regras da Lei de IA e do RGPD. As empresas enfrentam risco de auditoria de ambas as autoridades.
Identificadores Nacionais Espanhóis: A Lacuna de Deteção
As ferramentas NLP genéricas detetam DNI e NIE com apenas 34% de precisão em documentos espanhóis. A AEPD relatou isso no seu relatório de 2024. Cada identificador tem uma estrutura que explica por que as ferramentas genéricas falham.
DNI: Oito dígitos mais uma letra de controlo. A letra resulta do resto da divisão do número por 23. Esse valor corresponde a uma sequência fixa de letras. Certas letras são excluídas — não é de A a Z. Este algoritmo é específico da Espanha. As ferramentas genéricas não o implementam. Uma ferramenta que verifica apenas o padrão de dígitos, sem a etapa de módulo, produz resultados incorretos.
NIE: Uma letra de prefixo (X, Y ou Z), sete dígitos e uma letra de controlo. O NIE é para estrangeiros em Espanha. Cobre usos fiscais e administrativos. Cada prefixo reflete um período de emissão diferente. A letra de controlo usa o mesmo algoritmo do DNI. O NIE aparece em contratos de trabalho, declarações fiscais e documentos de residência.
Número fiscal CIF de empresas: Uma letra mais sete dígitos mais um caráter de controlo. A primeira letra indica o tipo de empresa. O caráter de controlo usa um algoritmo separado do DNI e NIE.
Cartão de saúde: O formato do cartão de saúde espanhol varia por região. Cada comunidade autónoma usa o seu próprio formato. Isso torna a deteção automática mais difícil do que com um padrão nacional único.
Para mais informações sobre lacunas de identificadores nos países da UE, consulte o nosso guia de lacunas de identificadores da UE.
Identificadores Latino-americanos: Conformidade em Todos os Mercados
Os laços da Espanha com a América Latina expandem as exigências de conformidade para além da Espanha. Qualquer empresa que atenda mercados de língua espanhola precisa de uma cobertura PII mais ampla.
México: O CURP é um código alfanumérico de 18 caracteres. Codifica data de nascimento, sexo, estado de nascimento e iniciais do nome. O RFC é um identificador fiscal de 13 caracteres para pessoas físicas e 12 para empresas. Ambos aparecem em registos de emprego e fiscais.
Argentina: O CUIL é um número de 11 dígitos com dígito de verificação. O CUIT usa o mesmo formato. O documento nacional de identidade argentino tem 7 a 8 dígitos. Os três aparecem em folhas de pagamento, documentos bancários e registos governamentais.
Chile: O RUT e o RUN têm 7 a 9 dígitos, um traço e um dígito de verificação. A verificação usa um algoritmo módulo-11. Toda pessoa e empresa no Chile tem um. A deteção deve implementar a etapa do dígito de verificação para evitar correspondências falsas.
Colômbia: O documento nacional de identidade tem 8 a 10 dígitos. O NIT tem nove dígitos mais um dígito de verificação e aplica-se a empresas.
A cobertura completa para mercados de língua espanhola requer tanto identificadores espanhóis da UE como identificadores nacionais latino-americanos. O nosso guia global de identificadores PII compara-os com o SSN dos EUA, o Aadhaar indiano e outros identificadores nacionais.
Resumo de Fiscalização da AEPD em 2024
847 decisões de fiscalização é o número mais alto da UE. O regulador espanhol alcança isso através de um elevado volume de reclamações e varrimentos sectoriais ativos. Os casos dividem-se por setor:
Telecomunicações e serviços financeiros: 42% das resoluções. Principais problemas: verificações de crédito não autorizadas, períodos de retenção excessivos e falta de consentimento para marketing.
Saúde e seguros: 22% das resoluções. Dados de saúde partilhados sem consentimento, des-identificação fraca para investigação e tratamento biométrico para sistemas de marcações.
Emprego: 19% das resoluções. Vigilância de funcionários, rastreio de redes sociais e videovigilância sem notificação adequada.
Sistemas de IA: Categoria em crescimento. A autoridade encontrou várias empresas espanholas a operar IA sem DPIAs concluídas. Isso viola o próprio guia de IA da AEPD.
A base técnica para a conformidade PII em espanhol é a deteção de DNI e NIE com validação da letra de controlo. Adicione reconhecimento de entidades nomeadas em espanhol. Em seguida, adicione cobertura de CURP, RUT, CUIL e documentos de identidade nacionais para suporte latino-americano completo.
Consulte o nosso guia de conformidade AEPD IA DPIA para o fluxo completo de DPIA sob as regras espanholas.