anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogGDPR & Conformitate

AEPD Spania: Reguli IA și DPIA pentru angajați

AEPD a emis 847 de rezoluții de sancționare în 2023 — cel mai mare număr din UE — și impune DPIA pentru toate sistemele IA care prelucrează date personale.

June 5, 20267 min citire
AEPD SpainSpanish GDPRAI DPIA Spainemployee monitoringSpanish data protection

AEPD Spania: Reguli IA și protecția datelor angajaților

Actualizat pentru 2026

AEPD: Cel mai activ organism de aplicare din UE după volum

AEPD (Agencia Española de Protección de Datos) este autoritatea spaniolă de supraveghere a confidențialității. A emis 847 de amenzi în 2023. Niciun alt organism din UE nu s-a apropiat de această cifră. Penalitățile totale în acel an au depășit €12M.

Agenția funcționează diferit față de majoritatea omologilor din UE. Nu se concentrează doar pe amenzi mari. Vizează și firmele mici, primăriile și grupurile de dimensiuni medii. Aceasta răspândește presiunea în întreaga economie spaniolă.

Principalele domenii aplicate în 2024:

  • Verificări prin camere și biometrice (29% din cazuri)
  • Marketing și contacte nesolicitate (24% din cazuri)
  • Monitorizarea personalului și dosare HR (18% din cazuri)
  • Sisteme IA și decizii automate (15% din cazuri — în creștere)
  • Înregistrări de sănătate și date din categorii speciale (14% din cazuri)

Regula DPIA a AEPD privind IA

Ghidul Guía de adecuación al RGPD de tratamientos con IA al autorității de reglementare din 2024 stabilește o regulă clară. Orice instrument IA care gestionează înregistrări personale necesită un DPIA (Evaluare a impactului privind protecția datelor).

Articolul 35 GDPR solicită DPIA când prelucrarea prezintă un risc ridicat. Acesta este un test contextual. Organismul spaniol adoptă o viziune mai strictă. Ghidul său afirmă că orice instrument ML care atinge înregistrările personale declanșează regula DPIA. Nu este necesară mai întâi o verificare a riscului de la caz la caz.

Organizațiile spaniole trebuie să ruleze și să depună DPIA pentru:

  • Chatboți de servicii pentru clienți
  • Instrumente de screening pentru angajare
  • Instrumente de marketing
  • Modele de procesare a textului (inclusiv instrumente de anonimizare)
  • Orice instrument IA care gestionează înregistrările personalului sau clienților

Fiecare instrument utilizat în Spania necesită propriul dosar DPIA. Aceasta se aplică chiar dacă instrumentul pare să prezinte un risc scăzut.

Standardele de anonimizare ale AEPD

Ghidul de anonimizare al agenției se bazează pe lucrările CNIL. Adaugă reguli specifice Spaniei pentru ID-urile naționale:

Tipuri de ID spaniole:

  • DNI (Documento Nacional de Identidad): număr din 8 cifre plus o literă de verificare
  • NIE (Número de Identificación de Extranjero): Literă + 7 cifre + literă, pentru cetățenii străini
  • NIF (Número de Identificación Fiscal): Același format ca DNI, utilizat pentru impozite
  • Número de Seguridad Social: Numărul spaniol de securitate socială

Organismul notează că modelele NER ratează adesea numerele NIE. Spania are o populație de imigranți numeroasă. Verificați că instrumentele dumneavoastră pot găsi NIE-uri când procesați dosare de la cetățeni non-spanioli.

Tipare de nume spaniole:

Nomenclatura spaniolă folosește două prenume (apellidos compuestos). Modelele NER antrenate pe seturi cu un singur prenume pot eșua în acest caz. Numele „García López, Juan Carlos” are două prenume, nu unul. Modelele NER spaniole trebuie să gestioneze aceasta.

Cazuri de monitorizare a angajaților AEPD

Optsprezece la sută din cazuri implică monitorizarea personalului. Spania limitează controlul angajatorului conform Estatuto de los Trabajadores (Statutul lucrătorilor). Autoritatea de reglementare aplică aceste limite alături de GDPR.

Pozițiile cheie ale autorității:

  • Keyloggere: Utilizarea unui keylogger ascuns este o breșă GDPR în majoritatea cazurilor. Instrumentele de captură de ecran necesită dovezi scrise și o verificare a utilizării proporționale.
  • Urmărire GPS: Permisă pe vehiculele de serviciu cu notificare clară a personalului. Nu este permisă pe vehiculele personale.
  • Verificări e-mail: Permise cu notificare prealabilă în scris și o politică. Revizuirea conținutului necesită dovezi suplimentare.
  • Instrumente de urmărire IA: Orice model care urmărește comportamentul personalului necesită un DPIA. Se aplică și regulile EDPB.

Monitorizarea automatizată atrage cel mai mare control din partea DPA-ului Spaniei.

Documentația IA conformă cu AEPD

Patru seturi de documente sunt necesare pentru organizațiile spaniole care utilizează instrumente IA.

1. Inventarul sistemelor IA

Listați fiecare instrument care gestionează înregistrările personale spaniole. Notați: denumirea sistemului, furnizorul, scopul, tipurile de înregistrări, perioada de păstrare și statusul DPA.

2. DPIA per sistem

Utilizați șablonul DPIA publicat de agenție. Acoperiți:

  • Scopul, temeiul juridic, tipurile de înregistrări și destinatarii
  • O verificare a proporționalității
  • O revizuire a riscurilor pentru persoanele afectate
  • Controale ale riscurilor: atât tehnice, cât și procedurale
  • Avizul DPO (acolo unde este necesar un DPO)

3. Registrul controalelor tehnice

Pentru fiecare instrument, notați controalele care blochează accesul neautorizat:

  • Filtrare înainte de trimitere (eliminarea PII înainte ca modelul să ruleze)
  • Controale de acces la ieșiri
  • Limite de retenție și aplicarea acestora
  • Pași de detectare și răspuns la breșe

4. Politica de monitorizare a personalului

Dacă vreun instrument monitorizează personalul, adăugați o politică scrisă. Specificați domeniul de aplicare, notificați personalul, denumiți temeiul juridic și prezentați o verificare a proporționalității.

Auditurile AEPD încep cu inventarul și DPIA-urile. Organizațiile care au aceste dosare pregătite rezolvă auditurile mult mai rapid. Ghidul nostru de conformitate GDPR acoperă domeniul documentației. Prezentarea noastră de securitate explică controalele tehnice. Pentru detectarea PII în spaniolă, consultați ghidul nostru de detectare multilingvă a PII.

Surse

Articole Asemănătoare

GDPR & Conformitate

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformitate

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformitate

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.