BDSG alemana, requisitos de privacidad y nuevas sanciones

La Bundesdatenschutzgesetz o BDSG (Ley Federal de Protección de Datos) de Alemania es una ley integral de protección de datos recientemente modificada cuyo objetivo es proteger los derechos de privacidad de los datos de los ciudadanos alemanes. Aprobada originalmente en 1978, la ley se ha modificado y cambiado varias veces de acuerdo con el auge de la comunicación en línea en los últimos 20 años. Aunque Alemania forma parte actualmente de la UE y, por tanto, entra en el ámbito de aplicación del Reglamento General de Protección de Datos (RGPD), las cláusulas de apertura del RGPD permiten a los Estados miembros desarrollar sus propias leyes de privacidad además del RGPD. Como tal, el BDSG complementará el GDPR, esencialmente dando a los ciudadanos alemanes dos capas de protección en términos de protección de los datos personales y la información que comparten con entidades y organizaciones empresariales.

Para dar más contexto a la aprobación de la BDSG, la Datenschutzgesetzgebung de Alemania fue la primera política de privacidad de datos que se aprobó en el mundo. Como tal, gran parte de la redacción y aplicación del actual GDPR se basó en el enfoque que los legisladores alemanes habían adoptado en relación con la protección de la privacidad en décadas anteriores. Con la historia de Alemania en relación con la protección de datos y la privacidad y el impacto posterior que esta historia ha tenido en la aprobación de legislación como el GDPR, es lógico que Alemania se establezca como el primer Estado miembro de la UE en aplicar disposiciones destinadas a complementar el GDPR.

¿Qué tipos de entidades y organizaciones empresariales entran en el ámbito de aplicación de la BDSG?

La BDSG se aplica tanto a “organismos públicos como privados” que traten información y datos personales de ciudadanos alemanes. Es más, la ley no se aplica únicamente a las entidades que operan dentro del país de Alemania, ya que cualquier país que procese la información personal de ciudadanos alemanes debe cumplir tanto el GDPR como la BDSG de forma concertada. Más concretamente, la BDSG protege el “tratamiento de datos personales en su totalidad o en partes por medios automatizados (por ejemplo, tratamiento de datos basado en ordenador) y por medios no automatizados (por ejemplo, tratamiento manual, registros en papel)”.

A tal fin, los responsables y encargados del tratamiento de datos e información personales con arreglo a la BDSG pueden pertenecer a cualquiera de las tres categorías siguientes:

• Entidades o particulares que tratan datos personales en el territorio de Alemania.
• Entidades o particulares que tratan datos personales en el contexto de las actividades u operaciones de un establecimiento en Alemania.
• Entidades y particulares que no tienen un establecimiento en Alemania, pero que entran en el ámbito de aplicación del Reglamento General de Protección de Datos.

Debido a disposiciones específicas dentro del GDPR, el Art. 50 de la ley ordena que ambas autoridades de supervisión, así como la Comisión de la UE, tomen medidas específicas relacionadas con la BDSG para garantizar la cooperación internacional, la prestación de asistencia mutua internacional, la participación de las partes interesadas pertinentes en actividades y debates, y la promoción y el intercambio de documentación relativa a la legislación sobre privacidad y la práctica de dicha legislación.

¿Cuáles son los requisitos de la BDSG para las entidades y organizaciones empresariales?

Aunque la BDSG se aplica tanto al sector privado como al público en Alemania, existen disposiciones específicas que las empresas privadas deben cumplir en virtud de la BDSG. Estas disposiciones son las siguientes

• La provisión de videovigilancia para lugares públicos.
• Normas específicas que regulan cualquier tratamiento de datos con fines distintos de los inicialmente previstos.
• Normas específicas para el tratamiento de datos en el contexto del empleo. Por ejemplo, pueden tratarse los datos de un ciudadano alemán si dicho tratamiento está relacionado con un delito documentado que haya tenido lugar durante la relación laboral.
• Normas específicas para el tratamiento de datos en el contexto de la calificación crediticia de los consumidores y las comprobaciones de crédito. Por ejemplo, la dirección de un ciudadano alemán concreto no puede utilizarse para influir negativamente en su calificación crediticia.
• Limitación de los derechos de los interesados.
• Designación de un responsable de la protección de datos o RPD. Según la BDSG, debe designarse un RPD “si al menos 10 personas participan regularmente en el tratamiento de datos personales en su totalidad o en parte por medios automatizados”.
• Normas procesales para demandas privadas y públicas relacionadas con violaciones de la BDSG.
• Multas administrativas y disposiciones penales por infringir la BDSG.

¿Cuáles son las sanciones por infringir la BDSG?

Dado que Alemania es un Estado de la UE y, a su vez, está bajo la jurisdicción del Reglamento General de Protección de Datos, la mayoría de las entidades y organizaciones empresariales que vulneren los derechos de privacidad de los datos de los ciudadanos alemanes serán multadas de conformidad con las disposiciones del RGPD. Las multas incluyen sanciones pecuniarias de 20 millones de euros o del 4% de los ingresos globales de una entidad empresarial, según cuál sea la cantidad más elevada. Aunque los infractores de la BDSG pueden recibir una sanción pecuniaria de hasta 50.000 euros, se prevé que estos casos sean poco frecuentes. Por otra parte, la BDSG también contiene disposiciones sobre daños no pecuniarios, como la indemnización por el dolor y el sufrimiento de una persona. En virtud de la BDSG, tanto los interesados como los empleados de empresas alemanas mantienen el derecho a reclamar indemnizaciones y daños y perjuicios por daños no pecuniarios.

Aunque el RGPD influyó en muchas leyes de protección de datos que se han aprobado en todo el mundo en los últimos años, la BDSG y las anteriores leyes alemanas de protección de datos influyeron mucho en el RGPD. Al convertirse en el primer Estado de la UE en aprovechar las disposiciones del GDPR que permiten a los Estados miembros de la UE crear sus propias leyes de protección de datos, esta influencia que Alemania ha tenido en relación con la ley europea de protección de datos seguramente continuará en el futuro. De este modo, tanto los residentes alemanes como el resto de europeos pueden estar seguros de que la protección de datos sigue siendo una prioridad en el continente.