Spanien's Agencia Española de Protección de Datos (AEPD) utfärdade 847 sanktionerande beslut 2023 — det högsta antalet verkställande beslut av någon EU DPA. Även om individuella böter ofta är mindre än rubrikfall för GDPR från den irländska DPC eller nederländska AP, skapar AEPD:s höga verkställande volym betydande efterlevnadsrisker för alla organisationer med verksamhet i Spanien.
AEPD:s AI-förstärkta verkställighetsram
AEPD har publicerat EU:s mest omfattande AI-specifika dataskyddsguide, inklusive:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, uppdaterad 2024): AEPD:s AI-guide kräver en DPIA för alla AI-system som behandlar personuppgifter — oavsett om AI-behandlingen uppfyller GDPR Artikel 35:s risktröskel för obligatoriska DPIA. Detta är ett av de mest omfattande DPIA-kraven i EU.
Implementering av den spanska AI-lagen: Spanien är bland de första EU-medlemsstaterna med ett nationellt AI-register för hög-risk AI-system. AEPD samordnar med Spaniens AI-tillsynsmyndighet för att verkställa kombinerade AI-lag + GDPR-krav.
Spanska nationella identifierare: Detekteringsgapet
Generiska NLP-verktyg upptäcker DNI och NIE med endast 34% noggrannhet i spanska dokument (AEPD 2024 analys). För att förstå varför krävs en förståelse för identifierarstrukturer:
DNI (Documento Nacional de Identidad): 8 siffror + 1 kontrollbokstav. Kontrollbokstaven beräknas som resten av numret delat med 23, mappat till en specifik bokstavssekvens (inte A-Z — vissa bokstäver utesluts). Denna bokstav-från-nummer-algoritm är specifik för Spanien och implementeras inte i generiska verktyg.
Exempel: DNI 12345678Z — bokstaven Z bestäms av 12345678 mod 23 = position i bokstavssekvensen. Verktyg som upptäcker 8-siffriga nummer utan bokstavsvalidering, eller som validerar endast mönstret utan modulusberäkning, genererar falska positiva och falska negativa.
NIE (Número de Identificación de Extranjeros): Format X/Y/Z + 7 siffror + kontrollbokstav. NIE tilldelas utländska medborgare i Spanien för skatte- och administrativa ändamål. De tre formaten (X, Y, Z prefix) återspeglar olika utfärdandeperioder. Samma kontrollbokstavsalgoritm tillämpas. NIE förekommer i anställningsregister, kontrakt och skattedokument för Spaniens betydande utländska befolkning.
CIF/NIF empresarial: Företagets skatteidentifieringsnummer, format 1 bokstav + 7 siffror + kontrolltecken (siffra eller bokstav). Den första bokstaven indikerar företags typ (A=S.A., B=S.L., etc.), och kontrolltecknet använder en annan algoritm än DNI/NIE.
Tarjeta Sanitaria Individual: Spaniens nationella sjukvårdskortsnummer. Formatet varierar beroende på region — spanska autonoma samhällen (Katalonien, Madrid, Andalusien, etc.) använder olika sjukvårdskortsformat. Denna fragmentering gör automatisk detektion utmanande.
Latinamerikansk spanska: AEPD-efterlevnad i ett globalt sammanhang
Spanien's språkliga och historiska koppling till Latinamerika skapar en efterlevnadsdimension som sträcker sig bortom Spaniens gränser. Organisationer med verksamhet på spansktalande marknader behöver PII-verktyg som täcker:
Mexiko: CURP (Clave Única de Registro de Población) — 18-teckens alfanumerisk kodning av födelsedatum, kön, födelsestat och namninitialer. RFC (Registro Federal de Contribuyentes) — 13-teckens alfanumeriskt skattenummer för individer, 12 för företag.
Argentina: CUIL (Código Único de Identificación Laboral) — 11-siffrigt format med kontrollsiffra (prefix + CUIT + kontroll). CUIT (Código Único de Identificación Tributaria) — samma format som CUIL. Argentinsk DNI — 7-8 siffror nationell ID.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 siffror + bindestreck + kontrollsiffra (siffra eller K). Kontrollsiffran använder en modulus-11-algoritm. Varje chilensk individ och företagsenhet har en RUT.
Colombia: Cédula de Ciudadanía — 8-10 siffror nationell ID. NIT (Número de Identificación Tributaria) — 9 siffror + kontrollsiffra för företag.
För multinationella organisationer som betjänar spansktalande marknader i Spanien och Latinamerika krävs PII-verktyg som täcker både spanska EU-identifierare (DNI, NIE, CIF) och latinamerikanska nationella identifierare (CURP, RUT, CUIL, Cédula) för AEPD-efterlevnad och LGPD/lokal DPA-efterlevnad i varje land.
AEPD:s verkställighetsfokus 2024
847 verkställande beslut — EU:s högsta antal — återspeglar AEPD:s höga klagomålsintag och systematiska verkställighet. Nyckelsektorer:
Telekommunikation och finansiella tjänster: 42% av AEPD:s beslut. Obefogade kreditkontroller, överdriven datalagring och otillräckligt samtycke för marknadsföring.
Hälsovård och försäkring: 22% av besluten. Delning av hälsodata utan samtycke, otillräcklig avidentifiering för forskningsanvändning och biometrisk behandling för hantering av bokningar.
Anställning: 19% av besluten. Övervakning av anställda, screening av sociala medier och videövervakning utan adekvat meddelande.
AI-system: Växande kategori — AEPD fann flera spanska företag som använde AI utan genomförda DPIA, i strid med AEPD:s AI-guides obligatoriska DPIA-krav.
DNI/NIE-detektion med kontrollbokstavsvalidering, spanskspråkig NER (spaCy es_core_news) och latinamerikansk identifierartäckning för CURP, RUT, CUIL och Cédula representerar de grundläggande tekniska kraven för omfattande spanskspråkig PII-efterlevnad.
Källor: