AEPD İspanya: DNI, NIE ve LATAM Tanımlayıcıları
İspanya'nın veri koruma otoritesi AEPD, 2023'te 847 uygulama kararı verdi. Bu, herhangi bir AB düzenleyicisinin en yüksek sayısıdır. Tekil para cezaları genellikle İrlanda DPC veya Hollanda AP davalarından daha küçük olur. Ancak hacim, İspanyol operasyonları olan her şirket için gerçek bir risk yaratmaktadır.
AEPD'nin Yapay Zeka Yaptırım Çerçevesi
İspanya'nın düzenleyicisi, veri koruma için AB'nin en ayrıntılı yapay zeka kılavuzunu yayımlamıştır. İki alanı kapsamaktadır.
Yapay Zeka ve GDPR kılavuzu (2020, 2024'te güncellendi): Bu kılavuz, kişisel veri işleyen herhangi bir yapay zeka sistemi için Veri Koruma Etki Değerlendirmesi (DPIA) zorunluluğu getirir. GDPR Madde 35 eşiklerine ulaşılmasa dahi geçerlidir. Bu, AB'nin en geniş DPIA kurallarından biridir. İspanya verisi üzerinde yapay zeka çalıştıran her şirket, başlatmadan önce bir DPIA tamamlamak zorundadır.
İspanyol Yapay Zeka Yasası uygulaması: İspanya, yüksek riskli sistemler için ulusal yapay zeka siciline sahip ilk AB ülkeleri arasındadır. AEPD, İspanya'nın yapay zeka denetim kurumuyla iş birliği yapar. Birlikte hem Yapay Zeka Yasası hem de GDPR kurallarını uygularlar. Şirketler her iki otoriteden de denetim riskiyle karşı karşıyadır.
İspanyol Ulusal Tanımlayıcıları: Tespit Boşluğu
Genel amaçlı NLP araçları, İspanyol belgelerinde DNI ve NIE'yi yalnızca %34 doğrulukla tespit eder. AEPD bunu 2024 raporunda açıkladı. Her tanımlayıcı, genel araçların neden başarısız olduğunu açıklayan bir yapıya sahiptir.
DNI: Sekiz rakam artı bir kontrol harfi. Harf, sayının 23'e bölümünden kalan değerden türetilir. Bu değer sabit bir harf dizisiyle eşleştirilir. Belirli harfler hariç tutulur — A'dan Z'ye sıralı değildir. Bu algoritma İspanya'ya özgüdür. Genel araçlar bunu atlar. Yalnızca rakam kalıbını kontrol eden, modülüs adımını uygulamayan bir araç yanlış sonuçlar üretir.
NIE: Bir önek harfi (X, Y veya Z), yedi rakam, ardından bir kontrol harfi. NIE, İspanya'daki yabancı uyruklularadır. Vergi ve idari kullanımı kapsar. Her önek farklı bir düzenlenme dönemini yansıtır. Kontrol harfi DNI ile aynı algoritmayı kullanır. NIE, iş sözleşmelerinde, vergi dosyalarında ve ikamet kayıtlarında görünür.
CIF iş vergisi kimliği: Bir harf artı yedi rakam artı bir kontrol karakteri. Açılış harfi şirket türünü gösterir. Kontrol karakteri, DNI ve NIE'den farklı bir algoritma kullanır.
Sağlık kartı: İspanya'nın sağlık kartı formatı bölgeye göre değişir. Her özerk topluluk kendi formatını kullanır. Bu, otomatik tespiti tek ulusal standarla kıyaslandığında daha güçleştirir.
AB ülkelerindeki tanımlayıcı boşlukları hakkında daha fazla bilgi için AB tanımlayıcı boşluk kılavuzumuza bakın.
Latin Amerika Tanımlayıcıları: Pazarlar Genelinde Uyumluluk
İspanya'nın Latin Amerika bağları, uyumluluk taleplerini İspanya'nın ötesine taşımaktadır. İspanyolca konuşulan pazarlara hizmet veren her şirket daha geniş KKB kapsamı gerektirir.
Meksika: CURP, 18 karakterli alfasayısal bir koddur. Doğum tarihi, cinsiyet, doğum eyaleti ve isim baş harflerini kodlar. RFC, bireyler için 13 karakter, şirketler için 12 karakter uzunluğunda bir vergi kimliğidir. Her ikisi de istihdam ve vergi kayıtlarında görünür.
Arjantin: CUIL, kontrol hanesiyle 11 haneli bir numaradır. CUIT aynı formatı kullanır. Arjantin ulusal kimlik kartı 7 ila 8 hanedir. Üçü de bordro, bankacılık ve devlet kayıtlarında yer alır.
Şili: RUT ve RUN, bir tire ile kontrol hanesinden oluşan 7 ila 9 hane içerir. Kontrol, modülüs-11 algoritması kullanır. Şili'deki her kişi ve işletmenin biri vardır. Tespit, yanlış eşleşmeleri önlemek için kontrol hanesi adımını uygulamak zorundadır.
Kolombiya: Ulusal kimlik kartı 8 ila 10 hanedir. NIT, işletmelere uygulanır; kontrol hanesiyle birlikte dokuz hanedir.
İspanyolca konuşulan pazarlar için tam kapsam, hem İspanyol AB tanımlayıcılarını hem de Latin Amerika ulusal kimliklerini gerektirir. Küresel KKB tanımlayıcı kılavuzumuz, bunları ABD SSN, Hindistan Aadhaar ve diğer ulusal kimliklerle karşılaştırmaktadır.
AEPD'nin 2024 Yaptırım Dağılımı
847 uygulama kararı AB'nin en yüksek sayısıdır. İspanya'nın düzenleyicisi bunu yüksek şikayet alımı ve aktif sektör taramaları yoluyla elde etmektedir. Davalar sektöre göre dağılmaktadır:
Telekomünikasyon ve finansal hizmetler: Kararların %42'si. Başlıca sorunlar: izinsiz kredi sorguları, aşırı veri saklama ve pazarlama için eksik rıza.
Sağlık ve sigorta: Kararların %22'si. Rıza olmaksızın paylaşılan sağlık verisi, araştırma için zayıf anonimleştirme ve randevu sistemleri için biyometrik işleme.
İstihdam: Kararların %19'u. Çalışan izleme, sosyal medya taraması ve uygun bildirim olmaksızın video gözetimi.
Yapay zeka sistemleri: Büyüyen bir kategori. Otorite, birden fazla İspanyol şirketinin tamamlanmış DPIA olmaksızın yapay zeka çalıştırdığını tespit etti. Bu, AEPD'nin kendi yapay zeka kılavuzunu ihlal etmektedir.
İspanyol KKB uyumluluğu için teknik referans değer, kontrol harfi doğrulamasıyla DNI ve NIE tespiti üzerine kuruludur. Buna İspanyolca adlandırılmış varlık tanıma ekleyin. Ardından tam Latin Amerika desteği için CURP, RUT, CUIL ve ulusal kimlik kartı kapsamı ekleyin.
İspanyol kuralları kapsamındaki tam DPIA iş akışı için AEPD Yapay Zeka DPIA uyumluluk kılavuzumuza bakın.