İspanya'nın Kişisel Verilerin Korunması Ajansı (AEPD), 2023 yılında 847 yaptırım kararı verdi — bu, herhangi bir AB DPA'sının en yüksek yaptırım kararları sayısıdır. Bireysel cezalar genellikle İrlanda DPC veya Hollanda AP'den gelen başlıca GDPR davalarından daha küçük olsa da, AEPD'nin yüksek yaptırım hacmi, İspanyol operasyonları olan herhangi bir kuruluş için önemli bir uyum riski yaratmaktadır.
AEPD'nin AI-Öncelikli Uygulama Çerçevesi
AEPD, aşağıdakileri içeren AB'nin en kapsamlı AI'ya özgü veri koruma kılavuzunu yayımladı:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, 2024'te güncellendi): AEPD'nin AI kılavuzu, kişisel verileri işleyen herhangi bir AI sistemi için bir DPIA gerektirir — AI işlemenin, zorunlu DPIA'lar için GDPR Madde 35 risk eşiğini karşılayıp karşılamadığına bakılmaksızın. Bu, AB'deki en geniş DPIA gerekliliklerinden biridir.
İspanyol AI Yasası uygulaması: İspanya, yüksek riskli AI sistemleri için ulusal bir AI kaydı olan ilk AB üye devletlerinden biridir. AEPD, İspanya'nın AI denetim organı ile birlikte AI Yasası + GDPR gerekliliklerini uygulamak için koordinasyon sağlamaktadır.
İspanyol Ulusal Tanımlayıcıları: Tespit Açığı
Genel NLP araçları, İspanyol belgelerinde DNI ve NIE'yi yalnızca %34 doğrulukla tespit etmektedir (AEPD 2024 analizi). Bunun nedenini anlamak, tanımlayıcı yapılarını anlamayı gerektirir:
DNI (Documento Nacional de Identidad): 8 rakam + 1 kontrol harfi. Kontrol harfi, sayının 23'e bölümünden kalan olarak hesaplanır ve belirli bir harf dizisine karşılık gelir (A-Z değil — belirli harfler hariçtir). Bu harf-sayı algoritması İspanya'ya özgüdür ve genel araçlarda uygulanmamaktadır.
Örnek: DNI 12345678Z — Z harfi, 12345678 mod 23 = harf dizisindeki konumla belirlenir. Harf doğrulaması olmadan 8 haneli sayıları tespit eden veya yalnızca kalıbı doğrulayan, ancak modül hesaplaması yapmayan araçlar, yanlış pozitif ve yanlış negatif sonuçlar üretmektedir.
NIE (Número de Identificación de Extranjeros): Format X/Y/Z + 7 rakam + kontrol harfi. NIE, İspanya'da yabancı uyruklulara vergi ve idari amaçlar için atanır. Üç format (X, Y, Z ön eki) farklı verilme dönemlerini yansıtır. Aynı kontrol harfi algoritması geçerlidir. NIE, İspanya'nın önemli yabancı nüfusuna ait istihdam kayıtlarında, sözleşmelerde ve vergi belgelerinde görünmektedir.
CIF/NIF empresarial: Şirket vergi kimlik numarası, format 1 harf + 7 rakam + kontrol karakteri (rakam veya harf). İlk harf, şirket türünü gösterir (A=S.A., B=S.L., vb.), ve kontrol karakteri DNI/NIE'den farklı bir algoritma kullanır.
Tarjeta Sanitaria Individual: İspanya'nın ulusal sağlık kartı numarası. Format bölgeye göre değişir — İspanyol özerk toplulukları (Katalonya, Madrid, Endülüs, vb.) farklı sağlık kartı formatları kullanır. Bu parçalanma, otomatik tespiti zorlaştırmaktadır.
Latin Amerika İspanyolcası: AEPD Uyumu Küresel Bir Bağlamda
İspanya'nın Latin Amerika ile dilsel ve tarihsel bağı, İspanya'nın sınırlarını aşan bir uyum boyutu yaratmaktadır. İspanyolca konuşulan pazarlarda faaliyet gösteren kuruluşların, aşağıdakileri kapsayan PII araçlarına ihtiyacı vardır:
Meksika: CURP (Clave Única de Registro de Población) — doğum tarihi, cinsiyet, doğum eyaleti ve ad baş harflerini içeren 18 karakterli alfanümerik kodlama. RFC (Registro Federal de Contribuyentes) — bireyler için 13 karakterli alfanümerik vergi kimlik numarası, şirketler için 12.
Arjantin: CUIL (Código Único de Identificación Laboral) — kontrol rakamı ile birlikte 11 haneli format (ön ek + CUIT + kontrol). CUIT (Código Único de Identificación Tributaria) — CUIL ile aynı format. Arjantin DNI — 7-8 haneli ulusal kimlik.
Şili: RUT (Rol Único Tributario) / RUN — 7-9 rakam + tire + kontrol rakamı (rakam veya K). Kontrol rakamı, modül-11 algoritmasını kullanır. Her Şilili birey ve işletme varlığının bir RUT'u vardır.
Kolombiya: Cédula de Ciudadanía — 8-10 haneli ulusal kimlik. NIT (Número de Identificación Tributaria) — işletmeler için 9 rakam + kontrol rakamı.
İspanya ve Latin Amerika'daki İspanyolca konuşulan pazarlara hizmet veren çok uluslu kuruluşlar için, AEPD uyumu ve her ülkedeki LGPD/yerel DPA uyumu için hem İspanyol AB tanımlayıcılarının (DNI, NIE, CIF) hem de Latin Amerika ulusal tanımlayıcılarının (CURP, RUT, CUIL, Cédula) PII araç kapsamı gereklidir.
AEPD'nin 2024 Yılı Uygulama Odakları
847 uygulama kararı — AB'nin en yüksek sayısı — AEPD'nin yüksek şikayet alımını ve sistematik uygulamasını yansıtmaktadır. Ana sektörler:
Telekomünikasyon ve finansal hizmetler: AEPD kararlarının %42'si. Yetkisiz kredi kontrolleri, aşırı veri saklama ve pazarlama için yetersiz onay.
Sağlık ve sigorta: Kararların %22'si. Onay olmaksızın sağlık verisi paylaşımı, araştırma kullanımı için yetersiz kimlik gizleme ve randevu yönetimi için biyometrik işleme.
İstihdam: Kararların %19'u. Çalışan izleme, sosyal medya taraması ve yeterli bildirim olmaksızın video gözetimi.
AI sistemleri: Büyüyen bir kategori — AEPD, birçok İspanyol şirketinin tamamlanmamış DPIA'lar ile AI dağıttığını, AEPD'nin AI kılavuzunun zorunlu DPIA gereksinimini ihlal ettiğini bulmuştur.
Kontrol harfi doğrulaması ile DNI/NIE tespiti, İspanyolca NER (spaCy es_core_news) ve CURP, RUT, CUIL ve Cédula için Latin Amerika tanımlayıcı kapsamı, kapsamlı İspanyolca PII uyumu için temel teknik gereklilikleri temsil etmektedir.
Kaynaklar: