A Agência Espanhola de Proteção de Dados (AEPD) emitiu 847 resoluções de sanção em 2023 — o maior número de decisões de aplicação de qualquer DPA da UE. Embora as multas individuais sejam frequentemente menores do que os casos de destaque do GDPR do DPC irlandês ou do AP holandês, o alto volume de aplicação da AEPD cria uma exposição significativa à conformidade para qualquer organização com operações na Espanha.
Estrutura de Aplicação de IA da AEPD
A AEPD publicou a orientação de proteção de dados específica para IA mais abrangente da UE, incluindo:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, atualizado 2024): O guia de IA da AEPD exige um DPIA para qualquer sistema de IA que processe dados pessoais — independentemente de o processamento de IA atender ao limiar de risco do Artigo 35 do GDPR para DPIAs obrigatórios. Esta é uma das exigências de DPIA mais expansivas da UE.
Implementação da Lei de IA da Espanha: A Espanha está entre os primeiros estados membros da UE com um registro nacional de IA para sistemas de IA de alto risco. A AEPD coordena com o órgão de supervisão de IA da Espanha para aplicar os requisitos combinados da Lei de IA + GDPR.
Identificadores Nacionais Espanhóis: A Lacuna de Detecção
Ferramentas genéricas de NLP detectam DNI e NIE com apenas 34% de precisão em documentos em espanhol (análise da AEPD 2024). Para entender por que, é necessário compreender as estruturas dos identificadores:
DNI (Documento Nacional de Identidade): 8 dígitos + 1 letra de controle. A letra de controle é calculada como o resto do número dividido por 23, mapeado para uma sequência de letras específica (não A-Z — certas letras são excluídas). Este algoritmo de letra a partir de número é específico da Espanha e não é implementado em ferramentas genéricas.
Exemplo: DNI 12345678Z — a letra Z é determinada por 12345678 mod 23 = posição na sequência de letras. Ferramentas que detectam números de 8 dígitos sem a validação da letra, ou que validam apenas o padrão sem o cálculo do módulo, geram falsos positivos e falsos negativos.
NIE (Número de Identificación de Extranjeros): Formato X/Y/Z + 7 dígitos + letra de controle. O NIE é atribuído a estrangeiros na Espanha para fins fiscais e administrativos. Os três formatos (prefixo X, Y, Z) refletem diferentes períodos de emissão. O mesmo algoritmo de letra de controle se aplica. O NIE aparece em registros de emprego, contratos e documentos fiscais para a significativa população de estrangeiros da Espanha.
CIF/NIF empresarial: O número de identificação fiscal da empresa, formato 1 letra + 7 dígitos + caractere de controle (dígito ou letra). A primeira letra indica o tipo de empresa (A=S.A., B=S.L., etc.), e o caractere de controle usa um algoritmo diferente do DNI/NIE.
Tarjeta Sanitaria Individual: O número do cartão de saúde nacional da Espanha. O formato varia por região — as comunidades autônomas espanholas (Cataluña, Madrid, Andalucía, etc.) usam diferentes formatos de cartão de saúde. Essa fragmentação torna a detecção automatizada desafiadora.
Espanhol da América Latina: Conformidade da AEPD em um Contexto Global
A conexão linguística e histórica da Espanha com a América Latina cria uma dimensão de conformidade que se estende além das fronteiras da Espanha. Organizações com operações em mercados de língua espanhola precisam de ferramentas de PII que cubram:
México: CURP (Clave Única de Registro de Población) — codificação alfanumérica de 18 caracteres com data de nascimento, sexo, estado de nascimento e iniciais do nome. RFC (Registro Federal de Contribuyentes) — ID fiscal alfanumérico de 13 caracteres para indivíduos, 12 para empresas.
Argentina: CUIL (Código Único de Identificación Laboral) — formato de 11 dígitos com dígito de verificação (prefixo + CUIT + verificação). CUIT (Código Único de Identificación Tributaria) — mesmo formato que o CUIL. DNI argentino — ID nacional de 7-8 dígitos.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 dígitos + traço + dígito de verificação (dígito ou K). O dígito de verificação usa um algoritmo de módulo 11. Cada indivíduo e entidade comercial chilena possui um RUT.
Colômbia: Cédula de Ciudadanía — ID nacional de 8-10 dígitos. NIT (Número de Identificación Tributaria) — 9 dígitos + dígito de verificação para empresas.
Para organizações multinacionais que atendem mercados de língua espanhola na Espanha e na América Latina, a cobertura de ferramentas de PII de identificadores nacionais espanhóis (DNI, NIE, CIF) e identificadores nacionais da América Latina (CURP, RUT, CUIL, Cédula) é necessária para a conformidade com a AEPD e a LGPD/local DPA em cada país.
Foco de Aplicação da AEPD em 2024
847 decisões de aplicação — a maior contagem da UE — refletem a alta entrada de reclamações da AEPD e a aplicação sistemática. Setores chave:
Telecomunicações e serviços financeiros: 42% das resoluções da AEPD. Consultas de crédito não autorizadas, retenção excessiva de dados e consentimento inadequado para marketing.
Saúde e seguros: 22% das resoluções. Compartilhamento de dados de saúde sem consentimento, desidentificação inadequada para uso em pesquisa e processamento biométrico para gerenciamento de consultas.
Emprego: 19% das resoluções. Monitoramento de funcionários, triagem de redes sociais e vigilância por vídeo sem notificação adequada.
Sistemas de IA: Categoria em crescimento — a AEPD encontrou várias empresas espanholas implantando IA sem DPIAs concluídos, em violação à exigência de DPIA obrigatória do guia de IA da AEPD.
A detecção de DNI/NIE com validação de letra de controle, NER em língua espanhola (spaCy es_core_news) e cobertura de identificadores da América Latina para CURP, RUT, CUIL e Cédula representam os requisitos técnicos básicos para a conformidade abrangente de PII em língua espanhola.
Fontes: