AEPD — Cơ Quan Thực Thi Nhiều Nhất Trong EU Theo Số Lượng
Agencia Española de Protección de Datos (AEPD) của Tây Ban Nha là cơ quan bảo vệ dữ liệu tích cực nhất trong EU theo số lượng hành động thực thi, ban hành 847 quyết định xử phạt vào năm 2023 — nhiều hơn tổng số của tất cả các cơ quan bảo vệ dữ liệu EU khác cộng lại. Tổng mức phạt của AEPD trong năm 2023 vượt quá €12 triệu đối với các quyết định này.
Số lượng cao phản ánh cách tiếp cận thực thi của AEPD: không giống như các cơ quan bảo vệ dữ liệu tập trung vào các khoản phạt mang tính bước ngoặt đối với các tập đoàn lớn, AEPD ban hành số lượng đáng kể các khoản phạt nhỏ hơn đối với các SME, chính quyền địa phương và các tổ chức riêng lẻ, tạo ra áp lực tuân thủ rộng rãi trên toàn bộ nền kinh tế Tây Ban Nha.
Các lĩnh vực trọng tâm thực thi của AEPD trong năm 2024:
- Giám sát video và dữ liệu sinh trắc học (29% các trường hợp)
- Marketing và thông tin liên lạc không được yêu cầu (24% các trường hợp)
- Giám sát nhân viên và dữ liệu nhân sự (18% các trường hợp)
- Hệ thống AI và ra quyết định tự động (15% các trường hợp — tăng theo từng năm)
- Chăm sóc sức khỏe và dữ liệu danh mục đặc biệt (14% các trường hợp)
Yêu Cầu DPIA AI Độc Đáo Của AEPD
"Guía de adecuación al RGPD de tratamientos con IA" (Hướng Dẫn Tuân Thủ GDPR Cho Xử Lý AI) năm 2024 của AEPD vượt ra ngoài cơ sở GDPR trong một yêu cầu đáng kể: AEPD yêu cầu Đánh Giá Tác Động Bảo Vệ Dữ Liệu (DPIA) đối với bất kỳ hệ thống AI nào xử lý dữ liệu cá nhân.
Theo Điều 35 GDPR, DPIA được yêu cầu đối với việc xử lý "có khả năng dẫn đến rủi ro cao" đối với quyền và tự do của chủ thể dữ liệu — một đánh giá theo ngữ cảnh. Hướng dẫn của AEPD có cách tiếp cận mang tính phân loại hơn: bất kỳ hệ thống AI nào xử lý dữ liệu cá nhân đều kích hoạt yêu cầu DPIA.
Điều này có nghĩa là các tổ chức Tây Ban Nha phải tiến hành và ghi lại DPIA cho:
- Chatbot dịch vụ khách hàng
- Các công cụ sàng lọc tuyển dụng nhân sự
- Thuật toán cá nhân hóa tiếp thị
- AI xử lý tài liệu (bao gồm AI ẩn danh hóa)
- Bất kỳ công cụ AI nào xử lý dữ liệu nhân viên hoặc khách hàng
Hàm ý thực tế: các tổ chức sử dụng công cụ AI ở Tây Ban Nha phải có tài liệu DPIA cho mỗi công cụ, ngay cả khi công cụ đó được sử dụng rộng rãi và được tổ chức coi là rủi ro thấp.
Tiêu Chuẩn Ẩn Danh Hóa Kỹ Thuật Của AEPD
Hướng dẫn ẩn danh hóa của AEPD chịu ảnh hưởng từ "Guide pratique de l'anonymisation" của CNIL nhưng thêm các yêu cầu đặc thù của Tây Ban Nha:
Định danh quốc gia Tây Ban Nha:
- DNI (Documento Nacional de Identidad): Số 8 chữ số + chữ số kiểm tra
- NIE (Número de Identificación de Extranjero): Chữ cái + 7 chữ số + chữ cái, dành cho người nước ngoài
- NIF (Número de Identificación Fiscal): Tương đương DNI cho mục đích thuế
- Número de Seguridad Social: Định dạng số an sinh xã hội
Hướng dẫn của AEPD lưu ý rằng các mô hình NER Tây Ban Nha thường bỏ sót số NIE, phổ biến trong dân số nhập cư đông đảo của Tây Ban Nha. Các tổ chức xử lý dữ liệu của người không phải quốc tịch Tây Ban Nha tại Tây Ban Nha phải xác minh khả năng phát hiện NIE.
Ngữ cảnh đặc thù của Tây Ban Nha: Hướng dẫn của AEPD đề cập đến thách thức cụ thể của tên người Tây Ban Nha — truyền thống đặt tên hai họ (apellidos compuestos) tạo ra các thách thức phát hiện tên cho các mô hình NER được huấn luyện chủ yếu theo quy ước đặt tên một họ. NER tiếng Tây Ban Nha phải xử lý: "García López, Juan Carlos" — trong đó cả "García" và "López" đều là họ, không phải là họ ghép + tên.
Thực Thi Giám Sát Nhân Viên Của AEPD
18% các trường hợp của AEPD liên quan đến giám sát nhân viên phản ánh sự thực thi tích cực của Tây Ban Nha đối với các hạn chế về giám sát của người sử dụng lao động. Estatuto de los Trabajadores (Quy chế Người Lao Động Tây Ban Nha) giới hạn quyền giám sát của người sử dụng lao động, và AEPD đã tích cực thực thi các giới hạn này cùng với GDPR.
Các phán quyết chính của AEPD về giám sát nhân viên:
- Keylogger và giám sát chụp màn hình: AEPD coi việc cài đặt keylogger bí mật là vi phạm GDPR trong hầu hết các ngữ cảnh; giám sát chụp màn hình minh bạch đòi hỏi lý do chính đáng được ghi lại và đánh giá tỷ lệ
- Theo dõi GPS: Được phép đối với phương tiện làm việc với thông báo minh bạch; bị cấm đối với phương tiện cá nhân
- Giám sát email: Được phép với thông báo trước và chính sách được ghi lại; phân tích nội dung đòi hỏi lý do chính đáng bổ sung
- Giám sát hiệu suất AI: Các hệ thống AI đánh giá hiệu suất nhân viên thông qua phân tích hành vi đòi hỏi DPIA rõ ràng và tuân thủ hướng dẫn EDPB
Các tổ chức triển khai các công cụ AI giám sát hoặc phân tích hành vi nhân viên (bao gồm phân tích năng suất, giám sát giao tiếp, và theo dõi chuyên cần) phải đối mặt với sự giám sát cụ thể của AEPD.
Xây Dựng Tài Liệu AI Tuân Thủ AEPD
Đối với các tổ chức Tây Ban Nha triển khai công cụ AI, ngăn xếp tài liệu tuân thủ AEPD:
1. Kiểm kê Hệ Thống AI: Ghi lại tất cả các hệ thống AI xử lý dữ liệu cá nhân của Tây Ban Nha: tên hệ thống, nhà cung cấp, mục đích, danh mục dữ liệu được xử lý, thời gian lưu giữ, trạng thái DPA.
2. DPIA cho mỗi hệ thống AI: Theo mẫu DPIA đơn giản hóa của AEPD (có trên website của AEPD):
- Mô tả xử lý: mục đích, căn cứ pháp lý, danh mục dữ liệu, người nhận
- Đánh giá sự cần thiết và tỷ lệ
- Đánh giá rủi ro: rủi ro đối với chủ thể dữ liệu
- Biện pháp giảm thiểu rủi ro: các kiểm soát kỹ thuật và tổ chức
- Bản ghi tham vấn DPO (nếu yêu cầu DPO)
3. Tài liệu kiểm soát kỹ thuật: Đối với mỗi hệ thống AI, ghi lại các biện pháp kỹ thuật ngăn chặn truy cập dữ liệu cá nhân trái phép:
- Lọc trước khi gửi (phát hiện PII + xóa trước khi xử lý AI)
- Kiểm soát truy cập dữ liệu đã xử lý
- Thực thi lưu giữ
- Phát hiện và ứng phó vi phạm
4. Chính sách giám sát nhân viên: Nếu bất kỳ hệ thống AI nào giám sát nhân viên: chính sách bằng văn bản ghi lại phạm vi giám sát, thông báo cho nhân viên, căn cứ pháp lý, và đánh giá tỷ lệ.
Các cuộc kiểm tra của AEPD thường yêu cầu kiểm kê hệ thống AI và DPIA trước tiên. Các tổ chức có tài liệu sẵn có giải quyết các cuộc kiểm tra nhanh hơn đáng kể so với những tổ chức tiến hành đánh giá theo phản ứng.
Nguồn tham khảo: