GDPR

I. Introducción

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) entró oficialmente en vigor en Alemania y en los demás Estados miembros de la Unión Europea. Con el fin de implementar el GDPR, Alemania modificó la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG).

El Comisionado Federal para la Protección de Datos y la Libertad de Información (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), junto con las autoridades de protección de datos de los distintos estados federados, son responsables de la supervisión, orientación y aplicación del GDPR y de sus disposiciones nacionales de ejecución en Alemania.

El sistema alemán de protección de datos está plenamente alineado con el GDPR y, al mismo tiempo, incorpora requisitos jurídicos específicos del ordenamiento alemán para garantizar una protección integral de los datos personales.

II. Ámbito de aplicación

La normativa alemana de aplicación del GDPR se aplica a:

Todos los responsables del tratamiento (Verantwortlicher) o encargados del tratamiento (Auftragsverarbeiter) establecidos en Alemania;

Entidades situadas fuera de Alemania que ofrezcan bienes o servicios a personas ubicadas en Alemania o que supervisen su comportamiento dentro del territorio alemán.

Con independencia de que el tratamiento de datos tenga lugar dentro o fuera de Alemania, la normativa será aplicable siempre que se refiera a datos personales de personas situadas en Alemania.

El ámbito de aplicación comprende tanto el tratamiento automatizado de datos como el tratamiento no automatizado que forme parte de un sistema de archivo. Quedan excluidas las actividades de tratamiento realizadas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

III. Principios del tratamiento de datos

Licitud, lealtad y transparencia: Todo tratamiento debe basarse en una base jurídica válida y el interesado debe ser informado de manera clara sobre la finalidad y las modalidades del tratamiento.

Limitación de la finalidad: Los datos personales solo podrán utilizarse para fines determinados, explícitos y legítimos, sin que puedan emplearse para finalidades incompatibles con las originalmente previstas.

Minimización de datos: Solo se recopilarán los datos estrictamente necesarios para alcanzar la finalidad específica del tratamiento.

Exactitud: Se deberán adoptar medidas razonables para garantizar que los datos sean exactos, completos y estén actualizados.

Limitación del plazo de conservación: Los datos se conservarán únicamente durante el tiempo necesario para cumplir la finalidad para la que fueron recogidos y, una vez cumplida, deberán suprimirse o anonimizarse.

Integridad y confidencialidad: Los responsables y encargados del tratamiento deberán aplicar medidas técnicas y organizativas adecuadas para prevenir accesos no autorizados, pérdidas, alteraciones o divulgaciones indebidas de los datos.

IV. Derechos del interesado

Conforme al GDPR y a la legislación alemana, las personas físicas gozan de los siguientes derechos:

Derecho de información y acceso: Conocer si sus datos están siendo tratados y acceder a los mismos, así como a información sobre su tratamiento.

Derecho de rectificación: Solicitar la corrección de datos inexactos o incompletos.

Derecho de supresión (derecho al olvido): Solicitar la eliminación de datos personales cuando se cumplan las condiciones legales establecidas.

Derecho a la limitación del tratamiento: Exigir que el tratamiento sea restringido en determinadas circunstancias.

Derecho a la portabilidad de los datos: Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.

Derecho de oposición: Oponerse al tratamiento basado en intereses legítimos o en el interés público.

Derechos relacionados con decisiones automatizadas: En caso de decisiones basadas exclusivamente en tratamientos automatizados, incluida la elaboración de perfiles, el interesado tiene derecho a ser informado, a oponerse y a solicitar intervención humana.

En el caso de menores de 16 años, conforme a las disposiciones específicas aplicables en Alemania, el tratamiento de sus datos requiere el consentimiento de los padres o tutores, y la información deberá proporcionarse en un lenguaje claro y comprensible.

V. Obligaciones de los encargados y responsables del tratamiento

El encargado del tratamiento deberá actuar estrictamente conforme a las instrucciones documentadas del responsable.

Deberán implementarse medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos.

El encargado asistirá al responsable en el cumplimiento de las obligaciones previstas por el GDPR, incluyendo la gestión de solicitudes de los interesados.

En caso de violación de la seguridad de los datos, el encargado deberá informar inmediatamente al responsable, quien deberá notificar el incidente al BfDI en un plazo máximo de 72 horas.

El responsable está obligado a mantener un registro de las actividades de tratamiento y, cuando el tratamiento implique un alto riesgo, realizar una evaluación de impacto relativa a la protección de datos (DPIA).

Determinadas organizaciones deben designar un Delegado de Protección de Datos (DPO) y registrarlo ante la autoridad de control competente.

VI. Transferencias internacionales de datos

Cuando los datos personales se transfieran a países fuera de la Unión Europea, el responsable deberá garantizar que el país receptor ofrezca un nivel adecuado de protección, lo cual podrá lograrse mediante:

Una decisión de adecuación adoptada por la Comisión Europea;

La firma de cláusulas contractuales tipo de la Unión Europea (SCCs);

Otros mecanismos de transferencia autorizados por el GDPR.

Tras la invalidez del mecanismo conocido como “Privacy Shield” el 16 de julio de 2020, las empresas alemanas deben utilizar las cláusulas contractuales tipo actualizadas adoptadas el 4 de junio de 2021 u otros mecanismos legales válidos para las transferencias internacionales.

VII. Supervisión y ejecución

Las autoridades alemanas de protección de datos, incluido el BfDI y las autoridades de los estados federados (DSB), disponen de amplias facultades de supervisión y ejecución:

Emitir advertencias u órdenes de corrección;

Restringir o prohibir actividades de tratamiento;

Imponer sanciones administrativas que pueden alcanzar hasta 20 millones de euros o el 4 % del volumen de negocio anual global, optándose por la cuantía mayor.

Asimismo, el ordenamiento jurídico alemán permite a las personas emitir instrucciones específicas respecto al tratamiento de sus datos, incluso para el periodo posterior a su fallecimiento. En ausencia de tales instrucciones, el tratamiento deberá ajustarse estrictamente a la normativa vigente.

El marco alemán de aplicación del GDPR tiene como finalidad proteger los derechos fundamentales en materia de datos personales, reforzar el cumplimiento normativo empresarial y promover la confianza en el entorno digital.