Alemaniar GDPR-ren Enpleguaren Paisaia
Alemaniar datu-babesaren enpleguaren prozesua modu bakarrean kontplexua da: herriak ez da DPA bakarrarekin, 17 independente agintaritzarekin — federal BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) eta 16 estatuaren Landesdatenschutzbehörden (LfD).
Estruktura desaintzehun honek Alemaniar forde konstituzionalaren islatzen du, non datu-babesa estatu-konpetentzia da sektore pribatuan. BfDI estatu-erakundeak eta zenbait erakuntz pribatua dituzte enpleguarekin. LfD-ek erakuntz pribatua dituzte estatu bakoitzaren barruan — Bayern-en BayLDA Munich-ko ordezko herrientzako DPA nagusiak dira; Hamburg-en HmbBfDI hamburgako herrientzako erakundeak zintzo; Berlin-en BlnBfDI berlin-eko erakuntzak abasten ditu.
Praktiko inplikazioa: herrialde-herriak identifikatu beharra du zein DPA-k bere erakuntzaren gainean agintza duen — eta erantzuna ez da baliteke bakarra errentagintza-herrientzat estatu gehiagoren sarbidean edo estatu-agintariak zerbitzatzen dituzten herrietan.
Alemaniar GDPR-ren Enpleguaren Eskalakoa
Alemaniak 27.829 datu-urraketagarritasun-jakinarazpena bidali zituen 2024an — edozein EU estatu-kideko zenbakia eta guztira EU GDPR urraketagarritasun-jakinaraznenen % 31 (EDPB 2024 estatistikak). Horrek Alemaniar autoerako-errekesita kultura adierazten ditu, ez bada nahitaez urraketagarritasun-kopurua herrialde bakoitzean baino gehiago.
BfDI eta estatu LfD-ek gutxi gorabehera 160 milioi euroko GDPR-ren diru-laguntza batua 2018-2024 (GDPR enpleguaren jarraibidea). Enpleguaren ekintza handiak honakoak dira:
- Deutsche Wohnen: 14,5 milioi euroko ilegela (2020) datu ezabaketa sistemaren ezustasunean — lehenengo kasua, datu-mantentze-kudeaketa tekniko obligazio bat dela
- 1&1 Telecom: 9,55 milioi euroko ilegela (2020) bezero-zerbitzuaren autentifikazioaren ezustasunean (geroago apelean murriztu)
- Osasun eta aseguro-hornitzaileak: ilegela artikulu 32an (tekniko seguritate neurrien azpi)
BfDI-ren urteko errekesita honetan agertzen diren hiru enpleguaren fokua-eremuak: tekniko seguritate neurrien ezustasuna (32. art.), lurraldeko artean datu-garraioak ez-legalak (46. art.), eta datu minimizazioa ez-nahikoak AI sistemenetan.
BfDI-ren 2024 Tekniko Gidaria AI eta Datu-Minimizazioan
BfDI 2024an teknikako gidaria argitaratu zuen, GDPR-ren oinaren errekesitaren gaindi:
AI sistemen datu minimizazioa: BfDI gidaria behar du AI sistemak datu pertsonalak prozesatzen duten erreala denboran datu minimizazioa bete — ez bada besterik proceduragarri minimizazioa (langileak datu minimizazioa bete behar du politika) baina tekniko minimizazioa (sistemak datu pertsonalak sustatzen ditu edo kentzen ditu AI prozesatzetik lehenago). Honek zuzenean datu pertsonalaren aurrez-detekzio errekesita sortzen du.
Pseudonimizazioa tekniko estandarrak: BfDI gidaria ISO/IEC 29101 (Privacy Architecture Framework) aipatzen du pseudonimizazioan tekniko estandarentzat. Erakundeak GDPR 4(5) artikuloan pseudonimizazioa argitaratzen agintzen duten kasuan teknikoa bete behar dute — gako-kudeaketa praktikak eta alderantza kontrol barne.
Artikulu 32 tekniko dokumentazioa: BfDI behar du erakundeak mantendu behar dituzten dokumentatutako tekniko neurrien errekesita — ez bada "datuak enkriptatu dituguak" baina enkriptagarritasun estandar, gako-kudeaketa, sarbide kontrol eta probako maiztasunaren dokumentazioa.
Kategoria sensitiboko datuak (9. art.): BfDI gidaria erakundeak bereziko kategoriak prozesatzen dituzten (osasuna, biometrika, genetika, politika) beharra dute garaientzen tekniko neurrietan honakoak barne: sarbide-egunkaria, datu-zatiketa eta garaientzen pseudonimizazioa — oinaren artikulu 32 errekesitaren gaindi.
Tekniko Ezarpen-Prioritateak BfDI Bateragarritasunerako
BfDI edo Landesdatenschutzbehörden agintza duten erakundearentzat, tekniko lehentasunaren eremua honakoak dira:
1. Artikulu 32 tekniko dokumentazioa: Mantendu Tekniko Neurrien Erregistroa dokumentatuz: enkriptagarritasun estandarrak eta gako-kudeaketa, sarbide-kontrol ezarpena, pseudonimizazioa/anonimizazioa tresnak eta konfigurazioa, egunkaria oharzabea hurbiltzea eta probako maiztasuna. BfDI ausitapena errekesita artikulu 32 dokumentaziorako investigazioen estandara dira.
2. AI sarrera-datu minimizazioa: Edozein AI sistemarentzat bezero edo enpleguaren datu pertsonalak prozesatzen duen kasuan, aurrez-prozesatu iragazkia ezarri. BfDI-ren 2024 gidaria AI sarrera-datu minimizazioa tekniko errekesita du, ez organisazio aspizioa. Iragazkiak datu pertsonalak detektatu behar ditu eta kendu edo pseudonimizatu AI ereduaren aurretik.
3. Datu ezabaketa eta atxikimendua sistemak: Deutsche Wohnen estableitu zuen datu ezabaketa sistemak GDPR urraketagarritasun bakarra direla. Erakundeak automatzeko atxikimendua enpleguarekin mantentsu behar du — datu atxikimendua gainditu duten datuak automatikoki ezabatu edo anonimizatu behar dira, ez ad-hoc kasutan.
4. Urraketagarritasun-jakinaraznena erraduaren prestaketa: Alemamiaren 27.829 jakinarazpena bateragarritasun kulturaren islatzen du. Erakundeak urraketagarritasun-prozedurak mantendu behar dute 72 ordutan erantzun kapazitatearekin — barne datu forentsikaren kapazitatearekin datu baztertuak identifikatzeko, datu kategoriaren barne eta basikoaren baltsuketa.
Landesdatenschutzbehörden Agintarien Kontsiderazioak
Erakuntz pribatuaren sektorearen kasuan, dagokion DPA da erakuntzaren "establezimendu" bitartez zehaztua — normalean bere erregistro-aintzira edo negozio nagusia. Nagusia estatuaren DPA eta beren enpleguaren prioritateak:
BayLDA (Bavaria): Tekniko seguritate neurrien (32. art.), osasun-datuen. Bavaria automobilaren sektore eta osasun-kontzentrazioak espezifikoa fokua sortzen dituzte.
HmbBfDI (Hamburg): Lurraldeko artean datu-garraioak, portratatu portaera. Hamburg-en komertzialen kapitala bihur duten finansarien eta mediaren erakundearentzako sarbidea sortzen du.
BlnBfDI (Berlin): Zaintzako teknologia, enpleguaren zaintzaketa. Berlin-en tekniko star-up ekosistemak AI tresnak eta algoritmiaren erabakiaren fokuarekin sortzen du.
LDI NRW (Erdialdeko Errheim-Westfalia): Finansaria zerbitzuak, salmenta-bapeak. Alemania biztanle-gehiago estatua errenta eta finansaria sektorearen sarbidearekin.
ULD SH (Schleswig-Holstein): Cookie baimena, digitala merkatu. Historiaz aurreratutako DPA tekniko gidaria lidertzaren ondean.
Errentagintza estatu gehiagoan dituzten erakuntzak, "main establishment" printzipioa (56. art.) normalean DPA gehiengo bihurtzen du enpleguaren agintzen nagusia.
Nola ISO 27001 Sertifikazioa BfDI Bateragarritasuna Lagundu
BfDI-ren tekniko neurrien dokumentazio errekesita ISO 27001 Informazio Seguritate Kudeaketa Sistemaren dokumentazioarekin hurbildu dituzte. Erakundeak ISO 27001 sertifikazioarekin: