AEPD как наиболее активный правоприменитель ЕС по объёму
Испанское Agencia Española de Protección de Datos (AEPD) является наиболее активным DPA ЕС по числу правоприменительных действий: 847 санкционирующих решений в 2023 году — больше, чем у всех остальных DPA ЕС вместе взятых по объёму. Общие штрафы AEPD в 2023 году превысили €12 млн по этим решениям.
Высокий объём отражает подход AEPD к правоприменению: в отличие от DPA, сосредоточенных на знаковых штрафах против крупных корпораций, AEPD выдаёт значительное число меньших штрафов против МСП, муниципальных органов и отдельных организаций, создавая широкое давление на соответствие в испанской экономике.
Приоритетные области правоприменения AEPD в 2024 году:
- Видеонаблюдение и биометрические данные (29% дел)
- Маркетинг и нежелательные коммуникации (24% дел)
- Мониторинг сотрудников и данные HR (18% дел)
- ИИ-системы и автоматизированное принятие решений (15% дел — рост год к году)
- Здравоохранение и данные специальных категорий (14% дел)
Уникальное требование AEPD к DPIA для ИИ
«Guía de adecuación al RGPD de tratamientos con IA» AEPD 2024 года (Руководство по соответствию GDPR для обработки с ИИ) выходит за рамки базовых требований GDPR в одном существенном требовании: AEPD требует Оценку воздействия на защиту данных (DPIA) для любой ИИ-системы, обрабатывающей персональные данные.
Согласно Статье 35 GDPR, DPIA требуются для обработки, «вероятно приводящей к высокому риску» для прав и свобод субъектов данных — контекстуальная оценка. Руководство AEPD занимает более категоричный подход: любая ИИ-система, обрабатывающая персональные данные, запускает требование DPIA.
Это означает, что испанские организации должны проводить и документировать DPIA для:
- Чат-ботов обслуживания клиентов
- Инструментов скрининга кандидатов HR
- Алгоритмов персонализации маркетинга
- ИИ для обработки документов (включая ИИ анонимизации)
- Любого ИИ-инструмента, обрабатывающего данные сотрудников или клиентов
Практическое следствие: организации, использующие ИИ-инструменты в Испании, должны иметь документацию DPIA для каждого инструмента, даже если инструмент широко используется и считается низкорискованным организацией.
Технические стандарты анонимизации AEPD
Руководство AEPD по анонимизации испытывает влияние «Guide pratique de l'anonymisation» CNIL, но добавляет специфичные для Испании требования:
Испанские национальные идентификаторы:
- DNI (Documento Nacional de Identidad): 8-значный номер + буквенная контрольная цифра
- NIE (Número de Identificación de Extranjero): Буква + 7 цифр + буква, для иностранных граждан
- NIF (Número de Identificación Fiscal): Эквивалент DNI для налоговых целей
- Número de Seguridad Social: Формат номера социального страхования
Руководство AEPD отмечает, что испанские NER-модели часто пропускают номера NIE, которые распространены в значительном иммигрантском населении Испании. Организации, обрабатывающие данные неиспанских граждан в Испании, должны проверить возможность обнаружения NIE.
Специфика Испании: Руководство AEPD рассматривает специфическую проблему испанских имён — традиция двух фамилий (apellidos compuestos) создаёт проблемы обнаружения имён для NER-моделей, обученных преимущественно на соглашениях с одной фамилией. Испанский NER должен обрабатывать: «García López, Juan Carlos» — где и «García», и «López» являются фамилиями, а не составной фамилией + имя.
Правоприменение AEPD в отношении мониторинга сотрудников
18% дел AEPD, связанных с мониторингом сотрудников, отражают активное применение Испанией ограничений на наблюдение работодателя. Испанский Статут работников (Estatuto de los Trabajadores) ограничивает права работодателя на мониторинг, и AEPD был агрессивен в применении этих ограничений наряду с GDPR.
Ключевые решения AEPD по мониторингу сотрудников:
- Кейлоггеры и мониторинг скриншотов: AEPD рассматривает скрытую установку кейлоггеров как нарушение GDPR в большинстве контекстов; прозрачный мониторинг скриншотов требует задокументированного обоснования и оценки соразмерности
- Отслеживание GPS: Разрешено для служебных транспортных средств с прозрачным уведомлением; запрещено для личных транспортных средств
- Мониторинг электронной почты: Разрешён с предварительным уведомлением и задокументированной политикой; анализ содержания требует дополнительного обоснования
- Мониторинг производительности ИИ: ИИ-системы, оценивающие производительность сотрудников через поведенческий анализ, требуют явного DPIA и соответствия руководству EDPB
Организации, развёртывающие ИИ-инструменты, которые мониторят или анализируют поведение сотрудников (включая аналитику производительности, мониторинг коммуникаций и отслеживание посещаемости), подвергаются специфической проверке AEPD.
Создание документации ИИ, соответствующей AEPD
Для испанских организаций, внедряющих ИИ-инструменты, документационный стек, соответствующий AEPD:
1. Инвентаризация ИИ-систем: Задокументируйте все ИИ-системы, обрабатывающие испанские персональные данные: название системы, поставщик, цель, обрабатываемые категории данных, срок хранения, статус DPA.
2. DPIA для каждой ИИ-системы: По упрощённому шаблону DPIA AEPD (доступному на сайте AEPD):
- Описание обработки: цель, правовое основание, категории данных, получатели
- Оценка необходимости и соразмерности
- Оценка рисков: риски для субъектов данных
- Меры по снижению рисков: технические и организационные меры контроля
- Запись консультации с DPO (если требуется DPO)
3. Документация технических мер контроля: Для каждой ИИ-системы задокументируйте технические меры, предотвращающие несанкционированный доступ к персональным данным:
- Фильтрация перед передачей (обнаружение PII + удаление до обработки ИИ)
- Меры контроля доступа к обработанным данным
- Применение хранения
- Обнаружение нарушений и реагирование
4. Политика мониторинга сотрудников: Если какая-либо ИИ-система мониторит сотрудников: письменная политика, документирующая охват мониторинга, уведомление сотрудников, правовое основание и оценку соразмерности.
Инспекции AEPD, как правило, запрашивают инвентаризацию ИИ-систем и DPIA в первую очередь. Организации с уже имеющейся документацией разрешают инспекции значительно быстрее, чем те, кто проводит оценки в реактивном режиме.
Источники: