BfDI Alemania: GDPR betetzea talde teknikoentzat
2026rako eguneratua
Alemaniak 17 datu-babeseko organo ditu. Bat BfDI federala da (Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit). Beste 16ak Landesdatenschutzbehorden (LfD) izeneko egoitza-mailako organoak dira. EBko beste herrialdeek ez dute horrela lan egiten.
Banaketa Alemaniako egitura federaletik dator. Estatuek sektore pribatuaren gainbegiratzea egiten dute. BfDIk organo publiko federal eta zenbait konpainiak zuzentzen ditu. LfD bakoitzak bere estatuko konpainia pribatuak zuzentzen ditu. Bayerneko BayLDAk Munchen-ko enpresetan aplikatzen du. Hamburgoko HmbBfDIk Hamburgo-ko enpresetan aplikatzen du. Berlingo BlnBfDIk Berlin-eko enpresak estaltzen ditu.
Hainbat estatutan guneak dituen enpresak zein organok duen agintaritza atera behar du. Hori ez da beti erraza. Konpainia federal bezeroei zerbitzatzen dietenak eta bi estatutan guneak dituztenak aldi berean BfDIrekin eta LfD batekin jardun behar dute.
Alemaniaren betearazpen zenbakiak
Alemaniak 27.829 hauste-txosten aurkeztu zituen 2024an. Hori EBko beste edozein estatu kidek baino gehiago zen. EBko hauste-txosten guztien % 31 inguru zen urte hartan (EDPB 2024 datuak). Kopuru altuak txosten-kultura aktibo bat erakusten du. Ez du esan nahi Alemaniak beste herrialdeak baino hauste gehiago dituela.
BfDI eta LfDen isunen guztizko kopurua 160 milioi euro inguru zen 2018 eta 2024 artean (GDPR Betearazpen Jarraipen Tresna). Hiru kasu nabarmentzen dira:
- Deutsche Wohnen: 14,5 M euro (2020): Ezabaketako sistema txarrak. Kasu honek erakutsi zuen datu-erretentzioa betebehar teknikoa dela, ez soilik administrazio-zeregina.
- 1&1 Telecom: 9,55 M euro (2020): Bezeroaren ID egiaztapen ahula. Isuna errekurtsoan murriztu zen.
- Osasun eta aseguru enpresak: Hainbat isun 32. artikuluaren segurtasun-arauak bete ez izanagatik.
Hiru gai agertzen dira gehien Alemaniako DPAren urteroko txostenetan. Lehena 32. art. peko kontrol tekniko ahulak dira. Bigarrena 46. art. peko debekatutako muga arteko transferentziak dira. Hirugarrena AI sistemetan datu-muga txarrak dira.
BfDI AI eta datu mugei buruzko gida
BfDIk 2024an gida bat eman zuen, GDPR oinarrizko arauez harago joaten dena. [OHARRA: gida honen lotespen-egoera zehatza ez da BfDIren erregistro publikoetatik baieztatuta, tratatu norabide arautzaile sendo gisa.]
AI sarrera mugak: Agintaritzak kontrol tekniko biziak nahi ditu, ez soilik idatzizko politika. Sistemek datu pertsonalak AI modelo batera iritsi aurretik aurkitu eta kendu edo maskaratu behar dituzte. "Langileek datuak minimizatu behar dituzte" esaten duen politika batek ez du estandar hori betetzen.
Maskaratze-estandarrak: Gidak ISO/IEC 29101 erakusten du datu-maskaratzearen esparru gisa. 4(5). artikuluaren pseudoanonimizazioa erreklamatzen duten enpresek estandar honekin bat datozen gako-kontrolak eta itzulpen-urratsak erakutsi behar dituzte.
32. artikuluaren erregistroak: Ikuskatzaileek idatzizko zehaztapenak nahi dituzte. Horrek zifratze-mota zeatzak, gako-urratsak, sarbide-arauak eta proba-datak esan nahi du. Soilik "datuak zifratu egiten ditugu" esatea ez da nahikoa.
Kategoria bereziak (9. art.): Osasun-, biometria-, genetika- eta politika-datuentzat, gidak 32. art.ak eskatzen duena baino sarbide-erregistroak, datu-bereizketa eta maskaratze sendoagoa eskatzen du.
Ikusi gure hizkuntz anitzeko PII detekzio gida detekzio-hutsuneak GDPR betetzean nola eragin dezaketen Alemaniako merkatuan jakiteko.
BfDI betetzeko lau urrats tekniko
1. 32. artikuluaren erregistro erregistroa
Gorde idatzizko Neurri Tekniko Erregistroa. Arlo hauek estali: zifratze-motak eta gako-urratsak, sarbide-kontrolaren diseinua, maskaratze-tresnak eta haien ezarpenak, auditoria-erregistroak eta proba-datak. Alemaniako DPAek kasu gehienetan hori eskatzen dute. Eskatu aurretik prest eduki.
2. AI sarrera iragazkia
Gehitu iragazki-urrats bat langileek edo bezeroek datu pertsonalak AI modelu batera elikatzen diren edozein sistemetarako. Iragazkiak izenak, telefono-zenbakiak, ID zenbakiak eta osasun-datuak harrapatu behar ditu modelora pasatu aurretik. Horrek BfDIren kontrol teknikoaren estandarra betetzen du. Baita zure enpresa babesten du modeloak sarrerak gordetzen edo erregistratzen baditu.
3. Ordutegiaren araberako auto-ezabaketa
Deutsche Wohnen kasua erakutsi zuen ezabaketa txarra berez GDPR haustea dela. Erretentzioa kronometro baten arabera exekutatu behar da. Biltze-data igaro duten erregistroak ordutegian ezabatu edo anonimotzatu behar dira. Aldizkazko ezabaketak ez du estandarra betetzen. Automatizatu ezazu.
4. 72 orduko hauste-erantzuna
Alemaniako hauste-txosten kopuruak merkatu hau betetze-aktibo dela erakusten du. Zure gertaeren planak 72 orduko leihoa bete behar du. Horrek eragindako pertsonak aurkitzeko, esposatutako datuak zerrendatzeko eta ziurrenik kaltea baloratzeko tresnak dituzula esan nahi du denboran. Proba ezazu zure plana beharrezkoa izan baino lehen.
GDPR isun pautei buruzko ikuspegi osoagoa lortzeko, ikusi gure GDPR isun gida AEBeko enpresentzat.
Zein estatuko agintaritza aplikatzen den
Konpainia pribatuetarako, dagokion LfDa normalean enpresa kokatuta dagoen estatukoa da.
BayLDA (Bavaria): Kontrol tekniko eta osasun-erregistroak. Bavariako auto- eta osasun-sektoreek arreta handia jasotzen dute hemen.
HmbBfDI (Hamburgo): Muga arteko transferentziak eta erabiltzaile-profilak. Hamburgoko finantza eta hedabide enpresek arrisku handia dute hemen.
BlnBfDI (Berlin): Zaintza-tresnak eta langileen monitorizazioa. Berlingo teknologia-eszenak AI tresnak ikuskapen pean ditu.
LDI NRW (Ipar Rhin-Westfalia): Finantza eta txikizkako fideltasun programak. Hau Alemaniako biztanle-estaturik populatuena da.
ULD SH (Schleswig-Holstein): Cookie baimena eta marketing digitala. Agintaritza honek gida tekniko nagusiak egiteagatik ezaguna da.
Hainbat estatutan aktibo dauden enpresek establezimendu nagusiaren araua erabil dezakete (56. art.). Horrek kasuak EBko prozesamendu-erabaki nagusiak hartzen diren estatuko agintaritzara bideratzen ditu. Ikusi gure GDPR DSAR prozesamendu masiboko gida horrek bolumen handiko lan-fluxuetan nola eragiten duen jakiteko.
ISO 27001 eta BfDI lerrokatzea
ISO 27001 Alemaniako DPA ikuskatzaileek eskatzen dutenarekin ondo lerrokatzen da. Zure enpresa ziurtatua badago, erabili dokumentazio hori auditoria eskaerak erantzuteko.
- A eranskina 8.11 (Datu maskaraketa): Maskaratze eta anonimizazio kontrolak estaltzen ditu, 32. art. erregistro beharrei erantzuten die
- A eranskina 8.24 (Kriptografiaren erabilera): Zifratze-motak eta gako-urratsak estaltzen ditu, zifratzeko erregistro beharrei erantzuten die
- A eranskina 8.15 (Erregistratzea): Auditoria-erregistroaren diseinua estaltzen du, datu sentikorreko sarbide-erregistro beharrak eusten ditu
- ISMS auditoria txostenak: Kontrolak existitzen direla eta funtzionatzen dutela erakusten duen hirugarren alderdiko froga
Alemaniako DPA langileek ISO 27001 ezagutzen dute. Ziurtagiriak kontrol sistematikoen froga egituratua ematen dizu. Hori hirugarren alderdiko berrikusketarik gabeko idatzizko erreklamazioa baino sendoagoa da. Auditoria azkartu ere egiten du esparrua ikuskatzaileentzat ezaguna delako.