GDPR

I. Introducción

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea entró oficialmente en vigor en Alemania y en los demás Estados miembros de la UE. Para aplicar el RGPD, Alemania modificó la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, abreviada BDSG).

El Comisionado Federal para la Protección de Datos y la Libertad de Información (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), así como las autoridades de protección de datos de los distintos estados federados, son responsables de supervisar, orientar y hacer cumplir el RGPD y sus disposiciones de aplicación en el derecho alemán.

El sistema alemán de protección de datos es plenamente coherente con el RGPD y, al mismo tiempo, incorpora requisitos legales específicos de Alemania para garantizar una protección integral de los datos personales.

II. Ámbito de aplicación

La normativa alemana de aplicación del RGPD se aplica a:

Todos los responsables del tratamiento (Verantwortlicher) o encargados del tratamiento (Auftragsverarbeiter) establecidos en Alemania;

Las entidades situadas fuera de Alemania que ofrezcan bienes o servicios a personas ubicadas en Alemania o que supervisen su comportamiento dentro del territorio alemán.

Con independencia de que el tratamiento de datos tenga lugar dentro o fuera de Alemania, la normativa será aplicable siempre que estén implicados datos personales de personas situadas en Alemania.

El ámbito de aplicación abarca tanto el tratamiento automatizado de datos como el tratamiento no automatizado que forme parte de un sistema de archivo. Quedan excluidas las actividades de tratamiento de datos realizadas exclusivamente con fines personales o domésticos.

III. Principios del tratamiento de datos

Licitud, lealtad y transparencia: Todo tratamiento de datos debe basarse en una base jurídica clara y el interesado debe ser informado de manera transparente sobre la finalidad y el modo del tratamiento.

Limitación de la finalidad: Los datos personales solo podrán utilizarse para fines determinados y legítimos, y no deberán tratarse posteriormente de manera incompatible con dichos fines.

Minimización de datos: Solo podrán recopilarse los datos estrictamente necesarios para alcanzar la finalidad específica.

Exactitud: Debe garantizarse que los datos sean exactos, completos y estén actualizados.

Limitación del plazo de conservación: Los datos solo podrán conservarse durante el tiempo necesario para cumplir la finalidad del tratamiento y, una vez cumplida, deberán eliminarse o anonimizarse.

Seguridad y confidencialidad: Los responsables y encargados del tratamiento deben aplicar medidas técnicas y organizativas adecuadas para evitar la divulgación, alteración o pérdida de datos.

IV. Derechos de los interesados

De conformidad con el RGPD y la legislación alemana, las personas tienen los siguientes derechos:

Derecho de información y acceso: Obtener información sobre los datos recopilados y acceder a ellos, así como conocer la forma en que son tratados.

Derecho de rectificación: Solicitar la corrección de datos inexactos o incompletos.

Derecho de supresión (derecho al olvido): Solicitar la eliminación de datos personales cuando se cumplan las condiciones legales.

Derecho a la limitación del tratamiento: Restringir el tratamiento de datos en determinadas circunstancias.

Derecho a la portabilidad de los datos: Recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento.

Derecho de oposición: Oponerse al tratamiento basado en el interés legítimo o en el interés público.

Derechos relacionados con decisiones automatizadas: En caso de decisiones automatizadas, incluidas las basadas en análisis y predicciones, el interesado tiene derecho a ser informado, a oponerse y a solicitar intervención humana.

En el caso de menores de 16 años (según la disposición específica alemana del RGPD), el tratamiento de sus datos requiere el consentimiento de los padres o tutores, y la información proporcionada debe presentarse en un lenguaje claro y comprensible.

V. Obligaciones de los encargados y responsables del tratamiento

El encargado del tratamiento debe actuar estrictamente conforme a las instrucciones escritas del responsable (Verantwortlicher).

Deben aplicarse medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.

El encargado debe asistir al responsable en el cumplimiento de las obligaciones legales derivadas del RGPD, incluida la respuesta a las solicitudes de los interesados.

En caso de violación de la seguridad de los datos, el encargado deberá informar inmediatamente al responsable, quien deberá notificarlo al BfDI en un plazo de 72 horas.

El responsable debe mantener un registro de las actividades de tratamiento y, cuando el tratamiento implique un alto riesgo, realizar una evaluación de impacto relativa a la protección de datos (EIPD o DPIA).

Determinadas organizaciones están obligadas a designar un delegado de protección de datos (DPO) y a registrarlo ante la autoridad de control competente.

VI. Transferencias internacionales de datos

Cuando se transfieran datos personales a países fuera de la Unión Europea, el responsable deberá garantizar que el país destinatario ofrezca un nivel adecuado de protección de datos, lo que puede lograrse mediante:

Una decisión de adecuación de la Comisión Europea (Adequacy Decision);

La firma de cláusulas contractuales tipo de la UE (SCCs);

Otros mecanismos de transferencia permitidos por el RGPD.

Tras la invalidación del “Escudo de Privacidad” el 16 de julio de 2020, las empresas alemanas deben utilizar las cláusulas contractuales tipo actualizadas de la UE (versión del 4 de junio de 2021) u otros mecanismos legales válidos para la transferencia de datos.

VII. Supervisión y ejecución

Las autoridades alemanas de protección de datos (el BfDI y las autoridades de los estados federados, DSB) disponen de amplias facultades de supervisión y ejecución:

Emitir advertencias u ordenar medidas correctivas;

Limitar o prohibir actividades de tratamiento de datos;

Imponer multas significativas de hasta 20 millones de euros o el 4 % del volumen de negocios anual global, aplicándose la cantidad que resulte mayor.

Además, la legislación alemana permite a las personas establecer instrucciones claras sobre el tratamiento de sus datos, incluidas disposiciones relativas al uso de los datos después de su fallecimiento. En ausencia de instrucciones explícitas, el tratamiento deberá ajustarse a lo dispuesto por la ley.

El marco alemán de aplicación del RGPD tiene como objetivo proteger los derechos relativos a los datos personales, reforzar el cumplimiento normativo por parte de las empresas y fomentar la confianza en el entorno digital.