Испанское агентство по защите данных (AEPD) вынесло 847 санкционных решений в 2023 году — наибольшее количество решений в области правоприменения среди всех органов по защите данных ЕС. Несмотря на то что индивидуальные штрафы нередко меньше, чем в громких делах ирландской DPC или нидерландской AP, высокая частота правоприменения AEPD создаёт значительные риски несоответствия для любой организации с операциями в Испании.
Система правоприменения AEPD с приоритетом ИИ
AEPD опубликовало наиболее полное в ЕС руководство по защите данных, специфичное для ИИ, включая:
«Adecuación al RGPD de tratamientos que incorporan IA» (2020, обновлено в 2024 году): Руководство AEPD по ИИ требует проведения DPIA для любой системы ИИ, обрабатывающей персональные данные, — независимо от того, отвечает ли обработка ИИ порогу риска, предусмотренному статьёй 35 GDPR для обязательных DPIA. Это одно из наиболее широких требований к DPIA в ЕС.
Внедрение Закона Испании об ИИ: Испания входит в число первых государств — членов ЕС, создавших национальный реестр высокорисковых систем ИИ. AEPD координирует действия с испанским органом надзора за ИИ для обеспечения соблюдения совокупных требований Закона об ИИ и GDPR.
Испанские национальные идентификаторы: разрыв в обнаружении
Универсальные инструменты NLP обнаруживают DNI и NIE лишь с точностью 34% в испанских документах (анализ AEPD 2024). Понять причину можно, разобравшись в структуре идентификаторов:
DNI (Documento Nacional de Identidad): 8 цифр + 1 контрольная буква. Контрольная буква вычисляется как остаток от деления числа на 23, который отображается на специфическую последовательность букв (не A-Z — некоторые буквы исключены). Этот специфический для Испании алгоритм «буква из числа» не реализован в универсальных инструментах.
Пример: DNI 12345678Z — буква Z определяется как 12345678 mod 23 = позиция в последовательности букв. Инструменты, обнаруживающие 8-значные числа без проверки буквы или проверяющие только шаблон без вычисления остатка, генерируют ложные срабатывания и ложные отрицания.
NIE (Número de Identificación de Extranjeros): Формат X/Y/Z + 7 цифр + контрольная буква. NIE присваивается иностранным гражданам в Испании для налоговых и административных целей. Три формата (префиксы X, Y, Z) отражают разные периоды выдачи. Применяется тот же алгоритм контрольной буквы. NIE фигурирует в трудовых документах, договорах и налоговых документах для значительного числа иностранных граждан в Испании.
CIF/NIF empresarial: Идентификационный номер компании для налоговых целей, формат: 1 буква + 7 цифр + контрольный знак (цифра или буква). Первая буква указывает тип компании (A=S.A., B=S.L. и т. д.), а контрольный знак использует алгоритм, отличный от DNI/NIE.
Tarjeta Sanitaria Individual: Номер испанской национальной медицинской карты. Формат варьируется в зависимости от региона — испанские автономные сообщества (Каталония, Мадрид, Андалусия и др.) используют разные форматы медицинских карт. Эта фрагментация затрудняет автоматизированное обнаружение.
Латиноамериканский испанский: соответствие AEPD в глобальном контексте
Языковая и историческая связь Испании с Латинской Америкой создаёт аспект соответствия, выходящий за пределы Испании. Организациям с операциями на испаноязычных рынках необходимы инструменты PII, охватывающие:
Мексика: CURP (Clave Única de Registro de Población) — 18-значный буквенно-цифровой код, кодирующий дату рождения, пол, штат рождения и инициалы имени. RFC (Registro Federal de Contribuyentes) — 13-значный буквенно-цифровой налоговый идентификатор для физических лиц, 12 знаков — для компаний.
Аргентина: CUIL (Código Único de Identificación Laboral) — 11-значный формат с контрольной цифрой (префикс + CUIT + контрольная цифра). CUIT (Código Único de Identificación Tributaria) — тот же формат, что и CUIL. DNI argentino — 7–8-значный национальный идентификатор.
Чили: RUT (Rol Único Tributario) / RUN — 7–9 цифр + дефис + контрольная цифра (цифра или K). Контрольная цифра использует алгоритм modulus-11. Каждый чилийский гражданин и компания имеет RUT.
Колумбия: Cédula de Ciudadanía — 8–10-значный национальный идентификатор. NIT (Número de Identificación Tributaria) — 9 цифр + контрольная цифра для компаний.
Для транснациональных организаций, обслуживающих испаноязычные рынки Испании и Латинской Америки, необходимо охватывать как испанские идентификаторы ЕС (DNI, NIE, CIF), так и латиноамериканские национальные идентификаторы (CURP, RUT, CUIL, Cédula) для соответствия AEPD и местным органам по защите данных в каждой стране.
Направления правоприменения AEPD в 2024 году
847 решений в области правоприменения — наибольшее количество в ЕС — отражают высокий уровень приёма жалоб и систематическое правоприменение AEPD. Ключевые сектора:
Телекоммуникации и финансовые услуги: 42% решений AEPD. Несанкционированные кредитные проверки, избыточное хранение данных и недостаточное согласие для маркетинга.
Здравоохранение и страхование: 22% решений. Обмен медицинскими данными без согласия, неадекватная деидентификация для исследований и биометрическая обработка для управления записями.
Трудовые отношения: 19% решений. Мониторинг сотрудников, проверка социальных сетей и видеонаблюдение без надлежащего уведомления.
Системы ИИ: Растущая категория — AEPD выявило несколько испанских компаний, развёртывающих ИИ без завершённых DPIA, в нарушение обязательного требования AEPD к DPIA.
Обнаружение DNI/NIE с валидацией контрольной буквы, испанский NER (spaCy es_core_news) и охват латиноамериканских идентификаторов CURP, RUT, CUIL и Cédula представляют базовые технические требования для комплексного соответствия в части испаноязычных персональных данных.
Источники: