AEPD: Регулятор для 500+ мільйонів іспаномовних
Agencia Española de Protección de Datos (AEPD) — орган захисту даних Іспанії, що функціонує з 1993 року. Він є одним із найдосвідченіших у Європі та активно співпрацює з латиноамериканськими регуляторами.
Ключові факти:
- Юрисдикція: Іспанія + обробка даних іспанських резидентів
- Штаб: Мадрид
- Мова: Іспанська (офіційна для всіх комунікацій)
- Міжнародна роль: Координує з RLPD (Ibero-American Network)
Специфічні PII в Іспанії
NIF — Número de Identificación Fiscal
Для громадян Іспанії: 8 цифр + контрольна буква
Формат: 12345678A
Regex:
[0-9]{8}[TRWAGMYFPDXBNJZSQVHLCKE]
Алгоритм перевірки контрольної букви:
def validate_nif(nif):
letters = "TRWAGMYFPDXBNJZSQVHLCKE"
num = int(nif[:-1])
expected_letter = letters[num % 23]
return nif[-1].upper() == expected_letter
NIE — Número de Identidad de Extranjero
Для іноземців, що проживають в Іспанії:
Формат: X1234567A, Y1234567B, Z1234567C
Regex:
[XYZ][0-9]{7}[TRWAGMYFPDXBNJZSQVHLCKE]
CIF — Código de Identificación Fiscal
Для юридичних осіб: A12345678 (перша буква — тип організації)
CIF фізичних осіб-підприємців є персональними даними.
Número de la Seguridad Social
Формат: 12/12345678/12
Regex:
[0-9]{2}[/\s-]?[0-9]{8}[/\s-]?[0-9]{2}
Número de Cuenta Bancaria (IBAN іспанський)
Формат: ES1234567890123456789012
ES[0-9]{22}
Ключові рішення AEPD: Технічні прецеденти
Google: €10 мільйонів (2021)
AEPD оштрафував Google за труднощі з відписками від ремаркетингу і недостатньо прозоре інформування про персоналізацію реклами.
Урок: Механізми відмови від обробки повинні бути рівноцінними механізмам згоди — не приховані в меню з 8 кроків.
TikTok: Розслідування щодо обробки даних неповнолітніх
AEPD ініціювала розслідування щодо обробки даних дітей. GDPR встановлює вік 16 для Іспанії (один з найвищих у ЄС).
Урок: Сервіси, що можуть використовуватися неповнолітніми, повинні впровадити перевірку віку та відповідні рівні захисту.
Серіал дрібних штрафів 2023-2024
AEPD активно штрафує малий та середній бізнес за:
- Відеоспостереження без відповідних повідомлень (€3 000-€30 000)
- Публікацію персональних даних у соцмережах без згоди
- Відправку маркетингових SMS без opt-in
- Неналежне зберігання резюме кандидатів
LOPDGDD: Іспанська імплементація GDPR
Іспанія імплементувала GDPR через Органічний закон 3/2018 (LOPDGDD). Ключові доповнення:
Вік згоди: 14 років (нижчий за GDPR-мінімум 16)
Додаткові права:
- Право на цифрову спадщину
- Посилені права щодо прийняття рішень на основі алгоритмів
- Право на «забуття» у результатах пошукових систем (на основі рішення Google Spain)
Особливі зобов'язання щодо DPO:
- Публічні реєстри посад DPO (AEPD веде власний реєстр)
- DPO повинен бути призначений у широкому переліку організацій
AEPD та Латинська Америка: Міст між GDPR та LGPD
AEPD активно співпрацює з латиноамериканськими регуляторами через:
RLPD (Red Iberoamericana de Protección de Datos): Іберо-американська мережа захисту даних, що включає органи 18 країн.
Спільні стандарти: AEPD просуває конвергенцію між GDPR і латиноамериканськими законами (Бразилія LGPD, Чилі, Колумбія, Мексика).
Чи підпадають латиноамериканські компанії під GDPR?
Так, якщо компанія:
- Пропонує товари/послуги резидентам ЄС (включно з Іспанією)
- Відстежує поведінку резидентів ЄС
Це актуально для великих ринків: Мексика, Аргентина, Колумбія, Чилі, Перу.
Практичні відмінності для LATAM-компаній
| Аспект | GDPR/AEPD | LGPD (Бразилія) | LFPDPPP (Мексика) |
|---|---|---|---|
| Правова підстава | 6 підстав (ст. 6) | Аналогічні 10 | Вужчі |
| Вік згоди | 14 (Іспанія) | 18 | 18 |
| Права суб'єктів | Широкі | Порівнянні | Менш детальні |
| Строк відповіді | 30 днів | 15 днів | 30 днів |
| Штрафи | До €20M або 4% обороту | До R$50M або 2% | До $19M MXN |
Технічні вимоги AEPD
Оцінка впливу (DPIA)
AEPD опублікувала перелік типів обробки, що обов'язково вимагають DPIA:
- Біометрична аутентифікація
- Оцінка кредитоспроможності
- Системи моніторингу (відеоспостереження, GPS-трекінг)
- Реклама на основі профілювання
- Обробка даних уразливих груп
Права суб'єктів: Технічна реалізація
AEPD очікує прості, доступні механізми:
Форми запитів: повинні бути доступні без необхідності входу в систему (для запитів на доступ від неклієнтів)
Строки: 30 днів від отримання запиту, не від «верифікації»
Виключення: AEPD строго тлумачить виключення — «надмірність» запиту є рідкісною підставою для відмови
Передача даних за межі ЄС
Для компаній з Іспанії, що передають дані до Латинської Америки:
- Аргентина: Рішення про адекватність від ЄС (є)
- Уругвай: Рішення про адекватність від ЄС (є)
- Бразилія, Мексика, Чилі: Потрібні Standard Contractual Clauses
Практичні поради
Для іспанських компаній
- Зареєструйте DPO в реєстрі AEPD, якщо вимагається
- Ведіть ROPA іспанською мовою (хоча технічно не обов'язково — практично корисно)
- Перевірте відеоспостереження: знаки «Zona videovigilada» і строки зберігання (30 днів максимум у більшості випадків)
Для компаній, що обробляють дані іспанців
- Впровадьте механізм виявлення NIF/NIE/CIF у ваших системах
- Забезпечте права суб'єктів іспанською мовою
- Визначте представника в ЄС (ст. 27), якщо не маєте осідку в ЄС
Висновок
AEPD — досвідчений і активний регулятор, чиї рішення часто стають орієнтиром для всього ЄС. Специфіка іспанських PII (NIF, NIE, NSS) та міст до латиноамериканських ринків робить розуміння стандартів AEPD важливим для будь-якого бізнесу, що працює з іспаномовною аудиторією.
Джерела: