Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD) đã ban hành 847 nghị quyết xử phạt năm 2023 — số lượng quyết định thực thi cao nhất của bất kỳ DPA EU nào. Mặc dù các khoản phạt cá nhân thường nhỏ hơn so với các vụ GDPR nổi bật từ DPC Ireland hay AP Hà Lan, nhưng khối lượng thực thi cao của AEPD tạo ra rủi ro tuân thủ đáng kể cho bất kỳ tổ chức nào có hoạt động tại Tây Ban Nha.
Khung Thực Thi Ưu Tiên AI Của AEPD
AEPD đã công bố hướng dẫn bảo vệ dữ liệu đặc thù AI toàn diện nhất EU, bao gồm:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, cập nhật 2024): Hướng dẫn AI của AEPD yêu cầu DPIA cho bất kỳ hệ thống AI nào xử lý dữ liệu cá nhân — bất kể xử lý AI có đáp ứng ngưỡng rủi ro DPIA bắt buộc theo Điều 35 GDPR hay không. Đây là một trong những yêu cầu DPIA mở rộng nhất trong EU.
Triển khai Đạo luật AI Tây Ban Nha: Tây Ban Nha là một trong những quốc gia thành viên EU đầu tiên có đăng ký AI quốc gia cho các hệ thống AI rủi ro cao. AEPD phối hợp với cơ quan giám sát AI của Tây Ban Nha để thực thi các yêu cầu kết hợp Đạo luật AI + GDPR.
Mã Định Danh Quốc Gia Tây Ban Nha: Khoảng Trống Phát Hiện
Các công cụ NLP chung chỉ phát hiện DNI và NIE với độ chính xác 34% trong tài liệu tiếng Tây Ban Nha (phân tích AEPD 2024). Hiểu lý do tại sao đòi hỏi phải hiểu cấu trúc mã định danh:
DNI (Documento Nacional de Identidad): 8 chữ số + 1 chữ cái kiểm soát. Chữ cái kiểm soát được tính là phần dư của số chia cho 23, được ánh xạ đến một chuỗi chữ cái cụ thể (không phải A-Z — một số chữ cái bị loại trừ). Thuật toán chữ cái từ số này là đặc thù của Tây Ban Nha và không được triển khai trong các công cụ chung.
Ví dụ: DNI 12345678Z — chữ cái Z được xác định bởi 12345678 mod 23 = vị trí trong chuỗi chữ cái. Các công cụ phát hiện số 8 chữ số mà không xác thực chữ cái, hoặc xác thực chỉ mẫu mà không tính toán mô-đun, tạo ra kết quả dương tính giả và âm tính giả.
NIE (Número de Identificación de Extranjeros): Định dạng X/Y/Z + 7 chữ số + chữ cái kiểm soát. NIE được cấp cho người nước ngoài tại Tây Ban Nha cho mục đích thuế và hành chính. Ba định dạng (tiền tố X, Y, Z) phản ánh các giai đoạn phát hành khác nhau. Thuật toán chữ cái kiểm soát tương tự được áp dụng. NIE xuất hiện trong hồ sơ việc làm, hợp đồng và tài liệu thuế cho dân số người nước ngoài đáng kể của Tây Ban Nha.
CIF/NIF empresarial: Mã định danh thuế của công ty, định dạng 1 chữ cái + 7 chữ số + ký tự kiểm soát (chữ số hoặc chữ cái). Chữ cái đầu cho biết loại công ty (A=S.A., B=S.L., v.v.) và ký tự kiểm soát sử dụng thuật toán khác với DNI/NIE.
Tarjeta Sanitaria Individual: Số thẻ y tế quốc gia của Tây Ban Nha. Định dạng thay đổi theo vùng — các cộng đồng tự trị Tây Ban Nha (Cataluña, Madrid, Andalucía, v.v.) sử dụng các định dạng thẻ y tế khác nhau. Sự phân mảnh này làm cho việc phát hiện tự động trở nên khó khăn.
Tiếng Tây Ban Nha Mỹ Latinh: Tuân Thủ AEPD Trong Bối Cảnh Toàn Cầu
Mối liên hệ ngôn ngữ và lịch sử của Tây Ban Nha với Mỹ Latinh tạo ra một chiều tuân thủ mở rộng ra ngoài biên giới Tây Ban Nha. Các tổ chức có hoạt động trên các thị trường nói tiếng Tây Ban Nha cần các công cụ PII bao gồm:
Mexico: CURP (Clave Única de Registro de Población) — 18 ký tự chữ và số mã hóa ngày sinh, giới tính, tiểu bang sinh và chữ cái đầu tên. RFC (Registro Federal de Contribuyentes) — mã số thuế chữ và số 13 ký tự cho cá nhân, 12 cho công ty.
Argentina: CUIL (Código Único de Identificación Laboral) — định dạng 11 chữ số với chữ số kiểm tra (tiền tố + CUIT + kiểm tra). CUIT (Código Único de Identificación Tributaria) — định dạng tương tự như CUIL. DNI argentino — căn cước quốc gia 7-8 chữ số.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 chữ số + gạch ngang + chữ số kiểm tra (chữ số hoặc K). Chữ số kiểm tra sử dụng thuật toán modulus-11. Mỗi cá nhân và thực thể kinh doanh Chile đều có RUT.
Colombia: Cédula de Ciudadanía — căn cước quốc gia 8-10 chữ số. NIT (Número de Identificación Tributaria) — 9 chữ số + chữ số kiểm tra cho doanh nghiệp.
Đối với các tổ chức đa quốc gia phục vụ các thị trường nói tiếng Tây Ban Nha trên cả Tây Ban Nha và Mỹ Latinh, phạm vi công cụ PII bao gồm cả các mã định danh EU tiếng Tây Ban Nha (DNI, NIE, CIF) lẫn các mã định danh quốc gia Mỹ Latinh (CURP, RUT, CUIL, Cédula) là cần thiết để tuân thủ AEPD và LGPD/tuân thủ DPA địa phương ở từng quốc gia.
Trọng Tâm Thực Thi Của AEPD Năm 2024
847 quyết định thực thi — số lượng cao nhất EU — phản ánh lượng khiếu nại cao và thực thi có hệ thống của AEPD. Các lĩnh vực chính:
Viễn thông và dịch vụ tài chính: 42% nghị quyết AEPD. Kiểm tra tín dụng trái phép, lưu giữ dữ liệu quá mức và không có sự đồng ý đầy đủ cho tiếp thị.
Y tế và bảo hiểm: 22% nghị quyết. Chia sẻ dữ liệu y tế không có sự đồng ý, khử nhận dạng không đầy đủ cho mục đích nghiên cứu và xử lý sinh trắc học để quản lý cuộc hẹn.
Việc làm: 19% nghị quyết. Giám sát nhân viên, sàng lọc mạng xã hội và giám sát video không có thông báo đầy đủ.
Hệ thống AI: Danh mục đang tăng trưởng — AEPD nhận thấy nhiều công ty Tây Ban Nha triển khai AI mà không có DPIA hoàn chỉnh, vi phạm yêu cầu DPIA bắt buộc của hướng dẫn AI AEPD.
Phát hiện DNI/NIE với xác thực chữ cái kiểm soát, NER tiếng Tây Ban Nha (spaCy es_core_news) và phạm vi mã định danh Mỹ Latinh cho CURP, RUT, CUIL và Cédula là các yêu cầu kỹ thuật cơ bản để tuân thủ tiếng Tây Ban Nha toàn diện.
Nguồn tham khảo: