AEPD Spanien: DNI, NIE och LATAM-identifierare
Spaniens dataskyddsmyndighet AEPD utfärdade 847 tillsynsbeslut under 2023 — det högsta antalet bland EU:s tillsynsmyndigheter. Enstaka böter är ofta lägre än i irländska DPC- eller holländska AP-ärenden, men volymen skapar reell risk för alla företag med verksamhet i Spanien.
AEPD:s AI-tillsynsramverk
Spaniens tillsynsmyndighet har publicerat EU:s mest detaljerade AI-vägledning för dataskydd. Den täcker två områden.
AI och GDPR-guide (2020, uppdaterad 2024): Guiden kräver en DPIA för alla AI-system som behandlar personuppgifter. Den gäller även när trösklarna i GDPR artikel 35 inte uppnås — en av EU:s bredaste DPIA-regler. Alla företag som kör AI på spanska data måste genomföra en DPIA före lansering.
Implementering av spansk AI-lag: Spanien är bland de första EU-länderna med ett nationellt AI-register för högrisk-system. AEPD samarbetar med Spaniens AI-tillsynsorgan och tillämpar gemensamt regler för både AI-akten och GDPR. Företag riskerar revision från båda myndigheterna.
Spanska nationella identifierare: Detekteringsluckan
Generiska NLP-verktyg detekterar DNI och NIE med bara 34 % noggrannhet i spanska dokument. AEPD rapporterade detta i sin rapport 2024. Varje identifierare har en struktur som förklarar varför generiska verktyg misslyckas.
DNI: Åtta siffror plus en kontrollbokstav. Bokstaven härleds från talets rest när det divideras med 23 och mappas mot en fast bokstavssekvens. Vissa bokstäver är uteslutna — det är inte A till Ö. Den här algoritmen är spansk-specifik och generiska verktyg hoppar över den. Ett verktyg som bara kontrollerar siffermönstret utan modulus-steget ger felaktiga resultat.
NIE: En prefixbokstav (X, Y eller Z), sju siffror, sedan en kontrollbokstav. NIE ges till utländska medborgare i Spanien och täcker skatt och förvaltning. Varje prefix speglar en annan utfärdarperiod. Kontrollbokstaven använder samma algoritm som DNI. NIE förekommer i anställningskontrakt, deklarationer och uppehållsdokument.
CIF (företagsskatte-ID): En bokstav plus sju siffror plus ett kontrolltecken. Inledande bokstav anger bolagstyp. Kontrolltecknet använder en separat algoritm från DNI och NIE.
Hälsokort: Spaniens hälsokortsformat varierar per region. Varje autonom community har sitt eget format, vilket gör automatiserad detektering svårare än med en enda nationell standard.
För mer om identifierarluckor i EU-länder, se vår guide om EU-identifierarluckor.
Latinamerikanska identifierare: Compliance på flera marknader
Spaniens koppling till Latinamerika ökar compliancekraven bortom Spanien. Alla företag som betjänar spansktalande marknader behöver bredare PII-täckning.
Mexiko: CURP är en 18-tecken alfanumerisk kod som kodar födelsedatum, kön, födelsestat och namninitialer. RFC är ett 13-tecken skatte-ID för privatpersoner och 12 tecken för företag. Båda förekommer i anställnings- och skatteuppgifter.
Argentina: CUIL är ett 11-siffrigt nummer med kontrollsiffra. CUIT använder samma format. Det argentinska nationella ID är 7 till 8 siffror. Alla tre förekommer i löne-, bank- och myndighetsuppgifter.
Chile: RUT och RUN är 7 till 9 siffror, ett bindestreck och en kontrollsiffra. Kontrollen använder en modulus-11-algoritm. Varje person och företag i Chile har ett. Detektering måste implementera kontrolsiffersteget för att undvika falska träffar.
Colombia: Det nationella ID-kortet är 8 till 10 siffror. NIT är nio siffror plus en kontrollsiffra och gäller för företag.
Full täckning för spansktalande marknader kräver både spanska EU-identifierare och latinamerikanska nationella ID:n. Vår globala PII-identifierarguide jämför dessa med amerikanska SSN, indiska Aadhaar och andra nationella ID:n.
AEPD:s tillsynsuppdelning 2024
847 tillsynsbeslut är EU:s högsta antal. Spaniens tillsynsmyndighet uppnår detta genom hög klagomålsintag och aktiva sektorsgranskningar. Ärendena fördelar sig per sektor:
Telekommunikation och finansiella tjänster: 42 % av besluten. Huvudfrågor: otillåtna kreditupplysningar, alltför lång lagring och saknat samtycke för marknadsföring.
Sjukvård och försäkring: 22 % av besluten. Hälsodata delad utan samtycke, svag avidentifiering för forskning och biometrisk behandling för bokningssystem.
Anställning: 19 % av besluten. Medarbetarövervakning, granskning av sociala medier och videoövervakning utan korrekt information.
AI-system: En växande kategori. Myndigheten fann att flera spanska företag kör AI utan genomförda DPIA-analyser — ett brott mot AEPD:s egna AI-riktlinjer.
Den tekniska baslinjen för spansk PII-compliance är DNI- och NIE-detektering med kontrollbokstavsvalidering. Lägg till spanskspråkig NER. Lägg sedan till CURP, RUT, CUIL och nationellt ID-kort för fullt latinamerikanskt stöd.
Se vår AEPD AI DPIA-complianceguide för det fullständiga DPIA-arbetsflödet enligt spanska regler.