AEPD Испании: правила ИИ и данные сотрудников
Актуально для 2026 года
AEPD: лидер по объёму правоприменения в ЕС
AEPD (Agencia Española de Protección de Datos) — испанский регулятор в сфере конфиденциальности. В 2023 году ведомство вынесло 847 штрафов. Ни одна другая структура ЕС не приблизилась к этому показателю. Общая сумма санкций за год превысила €12 млн.
Агентство работает иначе, чем большинство европейских коллег. Оно ориентируется не только на крупные штрафы, но и проверяет малый бизнес, муниципалитеты и средние компании. Это создаёт давление по всей испанской экономике.
Ключевые направления правоприменения в 2024 году:
- Видеонаблюдение и биометрический контроль (29% дел)
- Маркетинг и нежелательные контакты (24% дел)
- Мониторинг персонала и кадровые файлы (18% дел)
- ИИ-системы и автоматические решения (15% дел — показатель растёт)
- Медицинские данные и данные особых категорий (14% дел)
Требование AEPD о проведении DPIA для ИИ
Руководство регулятора 2024 года Guía de adecuación al RGPD de tratamientos con IA устанавливает одно чёткое правило: любой ИИ-инструмент, обрабатывающий персональные данные, требует проведения DPIA (оценки воздействия на защиту данных).
Статья 35 GDPR требует DPIA, когда обработка несёт высокий риск — это контекстная оценка. Испанский регулятор занимает более жёсткую позицию. Его руководство гласит, что любой инструмент машинного обучения, работающий с персональными данными, автоматически активирует требование DPIA. Предварительная оценка риска в каждом конкретном случае не предусмотрена.
Испанские организации обязаны проводить и регистрировать DPIA для:
- Чат-ботов обслуживания клиентов
- Инструментов отбора кандидатов
- Маркетинговых инструментов
- Моделей обработки текстов (включая инструменты анонимизации)
- Любого ИИ-инструмента, работающего с данными персонала или клиентов
Каждый инструмент, применяемый в Испании, требует отдельного файла DPIA — даже если инструмент кажется низкорисковым.
Стандарты анонимизации AEPD
Руководство агентства по анонимизации основывается на методологии CNIL и дополняет её испанскими правилами для национальных идентификаторов:
Типы испанских идентификаторов:
- DNI (Documento Nacional de Identidad): 8-значный номер плюс контрольная буква
- NIE (Número de Identificación de Extranjero): Буква + 7 цифр + буква, для иностранных граждан
- NIF (Número de Identificación Fiscal): Тот же формат, что и DNI, применяется для налоговых целей
- Número de Seguridad Social: Испанский номер социального страхования
Регулятор отмечает, что NER-модели часто не распознают номера NIE. В Испании значительная доля иммигрантов. Убедитесь, что ваши инструменты способны обнаруживать NIE при обработке документов неиспанских граждан.
Испанские особенности имён:
В Испании принято двойное написание фамилий (apellidos compuestos). NER-модели, обученные на данных с одной фамилией, могут давать сбои. Имя «García López, Juan Carlos» содержит две фамилии, а не одну. Испанские NER-модели должны корректно обрабатывать эту особенность.
Дела AEPD о мониторинге сотрудников
Восемнадцать процентов дел связаны с мониторингом персонала. Испания ограничивает контроль работодателя согласно Estatuto de los Trabajadores (Трудовому кодексу). Регулятор применяет эти ограничения совместно с GDPR.
Ключевые позиции ведомства:
- Кейлоггеры: Скрытое использование кейлоггеров в большинстве случаев является нарушением GDPR. Инструменты для снятия скриншотов требуют письменного подтверждения и проверки соразмерности.
- GPS-слежение: Допускается на служебных транспортных средствах при явном уведомлении сотрудников. На личных транспортных средствах — не допускается.
- Проверка электронной почты: Допускается при предварительном письменном уведомлении и наличии политики. Проверка содержимого требует дополнительного обоснования.
- ИИ-инструменты слежения: Любая модель, отслеживающая поведение сотрудников, требует DPIA. Применяются также правила EDPB.
Автоматизированный мониторинг привлекает наибольшее внимание испанского регулятора.
Документация для ИИ, соответствующего требованиям AEPD
Для испанских организаций, использующих ИИ-инструменты, требуются четыре комплекта документов.
1. Реестр ИИ-систем
Перечислите все инструменты, обрабатывающие испанские персональные данные. Укажите: название системы, вендора, цель, типы данных, срок хранения и статус DPA.
2. DPIA для каждой системы
Используйте опубликованный шаблон DPIA агентства. Включите:
- Цель, правовое основание, типы данных и получателей
- Проверку соразмерности
- Оценку рисков для затрагиваемых лиц
- Меры контроля рисков: технические и процедурные
- Заключение DPO (при его наличии)
3. Реестр технических средств контроля
Для каждого инструмента зафиксируйте меры, предотвращающие несанкционированный доступ:
- Предварительная фильтрация (удаление персональных данных до запуска модели)
- Контроль доступа к выходным данным
- Ограничения хранения и их применение
- Действия по обнаружению нарушений и реагированию
4. Политика мониторинга персонала
Если какой-либо инструмент отслеживает деятельность сотрудников, добавьте письменную политику. Определите область применения, уведомите сотрудников, укажите правовое основание и проведите проверку соразмерности.
Проверки AEPD начинаются с реестра и DPIA. Организации, имеющие эти документы в готовом виде, проходят проверки значительно быстрее. Наше руководство по соответствию GDPR охватывает требования к документации. Наш обзор технической защиты объясняет средства технического контроля. Руководство по обнаружению испанских персональных данных — в нашем мультиязычном руководстве по защите персональных данных.