AEPD Spain: Mga Tuntunin sa AI at Employee DPA
Ina-update para sa 2026
AEPD: Nangungunang Tagapagpatupad ng EU ayon sa Dami
Ang AEPD (Agencia Espanola de Proteccion de Datos) ang bantay ng privacy ng Spain. Naglabas ito ng 847 na multa noong 2023. Walang ibang katawan ng EU ang malapit. Ang kabuuang parusa noong taong iyon ay umabot sa higit sa €12M.
Ang ahensya ay nagtatrabaho nang naiiba sa karamihan ng mga kapwa EU. Hindi ito nakatuon lamang sa malalaking multa. Tinutukoy din nito ang maliliit na kumpanya, mga tanggapan ng bayan, at mga pangkat ng medium size. Ikinakalat nito ang presyon sa buong ekonomiya ng Spain.
Mga nangungunang lugar na pinatupad noong 2024:
- Mga pagsusuri ng camera at biometric (29% ng mga kaso)
- Marketing at mga hindi hinihinging pakikipag-ugnayan (24% ng mga kaso)
- Pagmamasid sa kawani at mga file ng HR (18% ng mga kaso)
- Mga AI system at awtomatikong desisyon (15% ng mga kaso — tumataas)
- Mga rekord ng kalusugan at espesyal na klase (14% ng mga kaso)
Ang Tuntunin ng DPIA ng AEPD para sa AI
Ang Guia de adecuacion al RGPD de tratamientos con IA ng regulator noong 2024 ay nagtatakda ng isang malinaw na tuntunin. Anumang AI tool na nangangasiwa ng mga personal na rekord ay nangangailangan ng isang DPIA (Data Impact Assessment).
Hihingi ang GDPR Article 35 ng mga DPIA kapag ang pagpoproseso ay nagdudulot ng mataas na panganib. Iyon ay isang pagsubok ng konteksto. Ang katawan ng Spain ay nagkukuha ng mas mahigpit na pananaw. Sinasabi ng gabay nito na anumang ML tool na humahawak ng mga personal na rekord ay nag-trigger ng tuntunin ng DPIA. Hindi kailangan ng unang pagsusuri ng panganib sa bawat kaso.
Ang mga grupong Espanyol ay dapat magpatakbo at mag-file ng mga DPIA para sa:
- Mga chatbot ng serbisyo sa customer
- Mga tool sa pagsusuri ng pagkuha
- Mga tool sa marketing
- Mga modelo ng pagpoproseso ng teksto (kasama ang mga tool ng anonymization)
- Anumang AI tool na nangangasiwa ng mga rekord ng kawani o customer
Bawat tool na ginagamit sa Spain ay nangangailangan ng sariling file ng DPIA. Naaangkop ito kahit na mukhang mababang panganib ang tool.
Mga Pamantayan ng Anonymization ng AEPD
Ang gabay ng anonymization ng ahensya ay nagtatayo sa gawa ng CNIL. Nagdadagdag ito ng mga tuntunin na tiyak sa Spain para sa mga national ID:
Mga uri ng ID ng Spain:
- DNI (Documento Nacional de Identidad): 8-digit na numero kasama ang isang check letter
- NIE (Numero de Identificacion de Extranjero): Letra + 7 digit + letra, para sa mga dayuhang mamamayan
- NIF (Numero de Identificacion Fiscal): Parehong format ng DNI, ginagamit para sa buwis
- Numero de Seguridad Social: Spanish Social Security number
Pinapaalam ng katawan na ang mga NER model ay madalas na nagmimiss ng mga numero ng NIE. Malaki ang populasyon ng immigrants ng Spain. Suriin kung kaya ng iyong mga tool na mahanap ang mga NIE kapag nagpoproseso ka ng mga file mula sa mga hindi Espanyol na mamamayan.
Mga pattern ng pangalan ng Espanyol:
Ang pagpapangalan ng Espanyol ay gumagamit ng dalawang apelyido (apellidos compuestos). Ang mga NER model na sinanay sa mga set na may iisang apelyido ay maaaring mabigo dito. Ang pangalan na "Garcia Lopez, Juan Carlos" ay may dalawang apelyido, hindi isa. Dapat kayang pangasiwaan ng mga Espanyol na NER model ang ito.
Mga Kaso ng Pagmamasid sa Empleyado ng AEPD
Labingwalong porsyento ng mga kaso ay kinabibilangan ng pagmamasid sa kawani. Nilalimitahan ng Spain ang kontrol ng employer sa ilalim ng Estatuto de los Trabajadores (Workers' Statute). Ipinapatupad ng regulator ang mga limitasyong ito kasabay ng GDPR.
Mga pangunahing posisyon mula sa awtoridad:
- Mga keylogger: Ang lihim na paggamit ng keylogger ay isang paglabag ng GDPR sa karamihan ng mga kaso. Ang mga tool ng screenshot ay nangangailangan ng nakasulat na patunay at isang pagsusuri ng patas na paggamit.
- GPS tracking: Pinapayagan sa mga sasakyan ng trabaho na may malinaw na abiso sa kawani. Hindi pinapayagan sa mga personal na sasakyan.
- Mga pagsusuri ng email: Pinapayagan na may nakaraang nakasulat na abiso at isang patakaran. Ang pagsusuri ng nilalaman ay nangangailangan ng karagdagang patunay.
- Mga tool sa pagmamasid ng AI: Anumang modelo na sumusubaybay sa pag-uugali ng kawani ay nangangailangan ng DPIA. Naaangkop din ang mga tuntunin ng EDPB.
Ang awtomatikong pagmamasid ang nakakakuha ng pinaka-mataas na pagsisiyasat mula sa DPA ng Spain.
Dokumentasyon ng AI na Sumusunod sa AEPD
Aapat na set ng dokumento ang kailangan para sa mga grupong Espanyol na gumagamit ng mga AI tool.
1. Imbentaryo ng AI system
Ilista ang bawat tool na nangangasiwa ng mga personal na rekord ng Espanyol. Tandaan: pangalan ng system, vendor, layunin, mga uri ng rekord, panahon ng pagpapanatili, at katayuan ng DPA.
2. DPIA bawat system
Gamitin ang template ng DPIA na inilathala ng ahensya. Saklawin:
- Layunin, legal na batayan, mga uri ng rekord, at mga tatanggap
- Isang pagsusuri ng patas na paggamit
- Isang pagsusuri ng panganib para sa mga taong apektado
- Mga kontrol sa panganib: parehong teknikal at proseso
- Mga tala ng DPO (kung saan kinakailangan ang isang DPO)
3. Rekord ng mga teknikal na kontrol
Para sa bawat tool, tandaan ang mga kontrol na naghaharang ng hindi awtorisadong access:
- Pre-send filtering (pag-aalis ng PII bago tumakbo ang modelo)
- Mga kontrol sa access sa mga output
- Mga limitasyon ng pagpapanatili at ang kanilang pagpapatupad
- Mga hakbang sa pagtuklas ng paglabag at pagtugon
4. Patakaran sa pagmamasid ng kawani
Kung ang anumang tool ay sumusubaybay sa kawani, magdagdag ng nakasulat na patakaran. Sabihin ang saklaw, magbigay ng abiso sa kawani, pangalanan ang legal na batayan, at ipakita ang isang pagsusuri ng patas na paggamit.
Ang mga audit ng AEPD ay nagsisimula sa imbentaryo at mga DPIA. Ang mga grupo na may handa na mga file na ito ay nagresolba ng mga audit nang mas mabilis. Ang aming gabay sa pagsunod ng GDPR ay sumasaklaw sa saklaw ng dokumento. Ang aming pangkalahatang-ideya ng pagsunod sa seguridad ay nagpapaliwanag ng mga teknikal na kontrol. Para sa pagtuklas ng PII ng Espanyol, tingnan ang aming gabay sa multilingual na pagtuklas ng PII.