A-TEC
AEA Airguns
AKAH
ASG
Aimpoint
Alpen Optics
Alpha Industries
Anschütz
Antonio Zoli
Ares
B&T Schalldämpfer
Baikal
Ballistol
Balzer
Barbour
Barnes
Barnett
Benelli
Beretta
Bergara
Blaser
Brandit
Bremer Tresor
Brenneke
Si en una mediación en un mercado en línea se manejan incorrectamente los datos, no solo hay riesgo de conflicto, sino también problemas de DSGVO. Para mí, el núcleo es muy simple: Los datos de mediación solo deben utilizarse para el caso de disputa, el acceso debe estar estrictamente limitado y los datos deben ser eliminados o conservados después de plazos fijos.
De la contribución, sobre todo, me llevo estos puntos:
- DSGVO, BDSG y la ley de mediación se complementan
- La confidencialidad y la protección de datos no son lo mismo
- La plataforma, el mediador y el proveedor de servicios de TI tienen diferentes roles
- Cada fase necesita una base legal propia
- Los derechos de acceso y eliminación son aplicables, pero no sin límites
- Errores típicos son demasiados accesos, falta de plazos de eliminación y transmisión insegura
En resumen: Si quiero establecer la mediación de manera legal en una plataforma como Gunfinder, necesito responsabilidades claras, pocos datos, archivos de caso separados, comunicación cifrada y un plan de eliminación con plazos de 6 o 10 años, dependiendo del documento.
Mi conclusión breve: La protección de datos en la mediación no es un punto adicional. Debe estar presente desde el principio en formularios, procesos, contratos y sistemas.
DSGVO: Las 5 preguntas más importantes de los usuarios sobre el Reglamento General de Protección de Datos
sbb-itb-1cfd233
Marco legal: DSGVO, BDSG y la ley de mediación
Después de haber considerado la confidencialidad y la protección de datos por separado, ahora se trata de las reglas legales detrás de esto. Para los procedimientos de mediación en Alemania, hay tres fuentes legales que son especialmente importantes. Se complementan, pero cada una cubre una parte diferente.
| Ley | Ámbito de aplicación | Obligaciones clave | Relevancia para la mediación |
|---|---|---|---|
| DSGVO | Todos los responsables en la UE | Principios según el Art. 5, base legal (Art. 6), multas (Art. 83) | Base para el procesamiento de datos en el procedimiento |
| BDSG | Entidades públicas y privadas en Alemania | Obligación de DSB (§ 38), datos de empleados (§ 26), limitación de acceso (§ 29) | Puede limitar los derechos de los afectados en intereses de confidencialidad |
| MediationsG | Mediadores y sus asistentes | Confidencialidad (§ 4) | Protege el contenido del procedimiento más allá del simple procesamiento de datos |
Para los casos de mediación, hay tres puntos clave: finalidad, una base legal clara y roles bien definidos. En Gunfinder, esto se refiere principalmente a los datos de usuario, transacción y comunicación del caso en disputa.
Principios del DSGVO en el procesamiento de datos de mediación
El Art. 5 del DSGVO establece las reglas básicas que se aplican a cualquier procesamiento de datos personales, es decir, también en los procedimientos de mediación [2]. Aquí, estas reglas son más que meras formalidades. Deciden de manera práctica qué se puede hacer con los datos del caso y qué no.
Finalidad significa: los datos recopilados para la resolución de disputas no pueden ser utilizados repentinamente para otros fines. Un ejemplo típico sería la evaluación para análisis de marketing. No se puede hacer así [2].
Minimización de datos significa que los formularios solo pueden solicitar lo que se necesita para el caso concreto. No todo lo que "podría ser útil en algún momento" pertenece automáticamente a la recopilación de datos. Aquí es donde se separa la práctica limpia de la recopilación innecesaria de datos.
Además, está la limitación del almacenamiento. Los datos del caso deben ser eliminados tan pronto como se cumple el propósito, a menos que se apliquen plazos de conservación fiscal [2]. Para la comunicación en el procedimiento, también se aplica el principio de integridad y confidencialidad. En otras palabras: la transmisión debe estar técnicamente asegurada, por ejemplo, mediante TLS/SSL o cifrado de extremo a extremo [2][8].
El procesamiento se basa generalmente en el Art. 6, párrafo 1, letra b del DSGVO. Para ciertos canales de comunicación, puede ser necesario un consentimiento adicional [2].
Cómo se aplican estas reglas en las diferentes fases del procedimiento se muestra en la siguiente parte.
Cómo el BDSG y la Ley de Mediación añaden particularidades alemanas
El DSGVO es el marco a nivel de la UE. El BDSG lo complementa para Alemania. Para la práctica, es especialmente importante el § 38 del BDSG: quien emplee regularmente al menos a 20 personas de forma continua con procesamiento automatizado de datos, debe nombrar un delegado de protección de datos [2][7]. Una vez alcanzado este umbral, existe la obligación.
También el § 29 BDSG juega un papel importante en el ámbito de la mediación. La disposición puede limitar el derecho de acceso según el Art. 15 DSGVO, si la información solicitada violaría los intereses de confidencialidad de otros participantes. En términos claros: una parte no puede exigir sin más toda la información sobre la otra parte, si esta está bajo la protección de la confidencialidad [2][4].
Además, está el § 4 MediationsG. Obliga a los mediadores y a los participantes a la confidencialidad sobre todo lo que se les haga conocido en la mediación [5]. Esto va más allá del simple procesamiento de datos. No solo se protegen los datos almacenados, sino también las palabras habladas, impresiones y comunicación no verbal [8][4].
También es importante un punto que en la práctica se pasa por alto fácilmente: el mediador tiene un deber de confidencialidad, pero no un derecho propio a la confidencialidad. Si las partes lo liberan de la confidencialidad, puede estar obligado a declarar [4].
Quién es responsable de los datos: plataforma, mediador y proveedor de servicios
Quién es responsable desde el punto de vista de la protección de datos no siempre permanece en el mismo lugar durante el procedimiento de mediación. Dependiendo de la fase, esto puede cambiar.
Gunfinder es, como plataforma, inicialmente responsable de los datos de la cuenta de usuario y de las transacciones, así como de la recepción de casos de disputa [2]. El mediador, por otro lado, procesa los datos del caso para la realización del procedimiento como responsable propio [2].
La situación es diferente con los proveedores de servicios de TI, como los proveedores de nube o de videoconferencias. Ellos son procesadores de datos según el Art. 28 DSGVO. Esto significa: solo pueden procesar datos según las instrucciones del responsable. Para ello, se necesita un contrato de procesamiento de datos por escrito [2][8].
El cumplimiento de estas reglas es supervisado por las autoridades de protección de datos de los estados alemanes. También los mediadores están sujetos a este control [2].
Confidencialidad y protección de datos en la mediación
Obligaciones de confidencialidad para mediadores y partes
Quien actúe como mediador o como persona involucrada en un procedimiento está sujeto a la confidencialidad. Esto también se aplica a los empleados de una plataforma, si tienen acceso a un caso. En tales casos, la confidencialidad debe establecerse contractualmente.
Para las partes en sí, esta obligación no es automática. Debe acordarse expresamente, por ejemplo, en un acuerdo de mediación o en un acuerdo de confidencialidad separado [4][3]. Por esta razón, debería haber una cláusula adecuada en cada acuerdo de mediación.
Las declaraciones realizadas durante la mediación no pueden ser utilizadas en un procedimiento posterior sin más [3]. La protección de datos y la confidencialidad se entrelazan aquí, pero no significan lo mismo.
De esto se derivan directrices claras para el acceso, la divulgación y el almacenamiento. Por lo tanto, no es suficiente hablar solo de confidencialidad. También debe estar bien regulada la protección de los datos del caso.
Medidas de protección técnicas y organizativas para datos de casos digitales
Para que la confidencialidad no sea solo un papel, se necesitan medidas de protección técnicas y organizativas.
Los documentos del caso deben ser accesibles solo para el mediador responsable y las partes directamente involucradas [2]. En la práctica, esto generalmente se realiza a través de derechos de acceso basados en roles: cada rol solo ve los datos que necesita para el caso correspondiente. Además, existe el principio de separación. Los datos del caso deben almacenarse de manera lógica o física separada de los datos generales del mercado, para que los empleados sin relación con el caso no tengan acceso [2].
Para contenidos especialmente sensibles, la encriptación de extremo a extremo es útil, por ejemplo, con S/MIME o PGP [2].
También en el ámbito organizativo se necesitan reglas claras. Esto incluye principalmente:
- un registro de procesamiento según el Art. 30 del RGPD
- plazos de eliminación fijos
- la observancia de los plazos legales de conservación, por ejemplo, 10 años según el § 147 AO en derecho fiscal o 6 años para mediadores legales según el § 50 BRAO [1][2]
Así, la confidencialidad se convierte en más que una simple promesa en el contrato. Se asegura prácticamente en el trato diario con los datos de casos digitales.
Procesamiento de datos conforme a la ley en Gunfinder: desde la entrada del conflicto hasta el cierre del caso
Mediación conforme a la DSGVO: Fases de datos & fundamentos legales en resumen
Recopilación de datos y fundamentos legales en cada fase de mediación
Después de las medidas de protección, ahora se trata del proceso práctico de manejo de casos en Gunfinder.
Es importante: No cada fase procesa los mismos datos. Y precisamente por eso, cada paso necesita su propia base legal.
| Fase de mediación | Datos procesados | Base legal (Art. 6 DSGVO) | Medidas de protección recomendadas |
|---|---|---|---|
| Entrada del conflicto | Nombre, datos de contacto, Gunfinder-ID, Transaktions-ID | Art. 6 párr. 1 lit. b DSGVO (precontractual) | Formularios de entrada cifrados; acceso solo para el equipo de entrada; eliminación después de un corto período si no sigue un procedimiento [2] |
| Verificación de identidad | Copia de identificación oscurecida, prueba de propiedad | Art. 6 párr. 1 lit. c DSGVO | Eliminación de la copia de identificación después de la verificación; acceso solo para personas autorizadas |
| Revisión de pruebas | Chats, fotos de artículos, comprobantes de pago, informes periciales | Art. 6 párr. 1 lit. b DSGVO | Oscurecimiento de datos personales no relevantes; carpeta de caso digital asegurada |
| Sesiones | Declaraciones, grabaciones de video/audio, notas del mediador | Art. 6 párr. 1 lit. b DSGVO; en caso de grabaciones, además Art. 6 párr. 1 lit. a DSGVO | Consentimiento antes de las grabaciones; archivo separado de las notas del mediador |
| Acuerdo y cierre | Texto del acuerdo, datos de cuenta para reembolsos, firmas | Art. 6 párr. 1 lit. b DSGVO | Firmas digitales; acceso restringido al acuerdo final |
| Almacenamiento/Archivado | Facturas, acuerdos finales, comunicación relevante para impuestos | Art. 6 párr. 1 lit. c DSGVO | Almacenamiento de 10 años para documentos relevantes para impuestos [1][2]; plazos de eliminación automatizados |
La lógica detrás de esto es bastante clara: en la entrada del conflicto, generalmente se requieren datos básicos para la asignación del caso. Más tarde, en la verificación de identidad o revisión de pruebas, se vuelve mucho más sensible. A más tardar en las sesiones, grabaciones y documentos de cierre, deberías separar claramente quién puede ver qué y cuánto tiempo se necesitan los datos.
Derechos de los afectados y confidencialidad de la mediación
Los derechos de los afectados también se aplican en el procedimiento de mediación. Por lo tanto, no permanecen simplemente inactivos solo porque haya un caso de disputa en curso.
Sin embargo, hay límites. Si una solicitud de información o eliminación pusiera en peligro la confidencialidad de la mediación o la protección del procedimiento, estos derechos pueden ser restringidos en casos individuales. El § 29 BDSG puede restringir adicionalmente el derecho a la información. Por lo tanto, las notas del mediador deben guardarse por separado en el área de archivos; generalmente no están sujetas a la obligación de información.
Justamente aquí se muestra cuán importante es una estructura de archivos clara. Si todo termina en una sola carpeta, se vuelve rápidamente confuso en caso de solicitudes de información o solicitudes de eliminación.
Casos transfronterizos y plazos de conservación
Después de la finalización y archivo, a menudo surgen algunos puntos complicados, especialmente en casos con relación al extranjero.
Dentro de la UE y del EEE, el RGPD se aplica directamente. Para Suiza, se aplica la decisión de adecuación. Para otros países terceros, necesitas cláusulas contractuales estándar según el Art. 46 RGPD [1][2].
En cuanto a los plazos, la situación es también más clara de lo que parece a primera vista: La MediationsG en sí no menciona plazos fijos. Para documentos relevantes para impuestos, se aplican 10 años, y para mediadores legales, además 6 años [1][2]. Un calendario de eliminación automatizado es casi obligatorio aquí. Ayuda a documentar los plazos de manera clara y a iniciar las eliminaciones puntualmente.
Los mayores riesgos a menudo no se encuentran al inicio de un caso, sino más tarde en la vida cotidiana:
- derechos de acceso demasiado amplios
- eliminación tardía
- documentación incompleta
Justamente allí se decide si el procesamiento de datos en Gunfinder se lleva a cabo de manera ordenada en la vida cotidiana o si un pequeño descuido se convierte más tarde en un grave problema de protección de datos.
Gestión de riesgos y conclusión: Mantener el procedimiento de mediación conforme a la ley y confiable
Una vez que los pasos del proceso están establecidos, se hace evidente rápidamente en la vida cotidiana en qué se debe prestar atención: La gestión de riesgos marca la diferencia en la calidad.
Riesgos de cumplimiento típicos en archivos de mediación y comunicación
Según la lógica del proceso del apartado anterior, ahora llega el lado delicado de la práctica. En otras palabras: ¿Dónde suelen surgir problemas en la vida cotidiana?
| Escenario de riesgo | Posible impacto | Medida de contrarresto |
|---|---|---|
| Divulgación no cifrada | Los datos sensibles pueden ser interceptados | Transmisión y almacenamiento cifrados |
| Almacenamiento de datos demasiado prolongado | Violación de la limitación de almacenamiento | Concepto de eliminación documentado con plazos fijos |
| Derechos de acceso internos demasiado amplios | Violación de la confidencialidad según el § 4 MediationsG | Controles de acceso basados en roles; separación física y digital de datos |
| Uso de servicios de IA en la nube pública | Los datos de casos confidenciales no deben fluir hacia herramientas de IA públicas | Sistemas de IA operados localmente o asegurados; consentimiento expreso de las partes [6] |
| Filtración de datos (por ejemplo, dispositivo perdido) | Obligación de informar; multas según el Art. 83 GDPR; daño a la reputación | Cifrado de disco completo; borrado remoto (Remote Wipe); flujo de trabajo de informe de 72 horas [2] |
| Divulgación de contenidos de mediación ante el tribunal | El contenido de la mediación se utiliza como prueba | Restricción contractual de uso en el acuerdo de mediación [4] |
Un punto que a menudo se pasa por alto: § 4 MediationsG vincula al mediador y a las personas auxiliares. Sin embargo, para las partes en sí, esto no es automático. Se necesita una cláusula de confidencialidad propia.
Documentación, formación y Privacy by Design
De estos riesgos surgen tres puntos clave: Documentación, formación y limitación técnica.
El registro de procesamiento según el Art. 30 GDPR documenta el propósito, la fase y el plazo de eliminación. Así, no todo queda en la cabeza o en correos electrónicos individuales, sino que está bien documentado. Esto es especialmente importante en los procedimientos de mediación, ya que de lo contrario los flujos de datos pueden volverse autónomos rápidamente.
Además, se requieren formaciones regulares para empleados y mediadores. Esto puede sonar seco al principio, pero en la práctica a menudo es el punto donde se evitan errores. Porque muchos problemas no surgen por mala intención, sino por rutina, presión de tiempo o un clic imprudente.
En cuanto a las herramientas de IA, hay una línea clara: funcionan solo localmente o en sistemas asegurados. Los datos de casos confidenciales no pertenecen a servicios públicos. Y si ocurre un incidente de protección de datos, el informe se realiza en un plazo de 72 horas.
Puntos clave
La mediación conforme a la ley necesita responsabilidades claras, la menor cantidad de datos posible y plazos de eliminación claros. Para Gunfinder como plataforma, esto significa: bases legales claras para cada fase de procesamiento, derechos de acceso estrictamente limitados y un concepto de eliminación documentado.
FAQs
¿Cuándo necesito un consentimiento para los datos de mediación?
Necesitas un consentimiento cuando el procesamiento de datos personales en la mediación no se basa ya en otra justificación legal.
Esto es especialmente cierto en el caso de datos sensibles, por ejemplo, información sobre salud o sobre opiniones políticas. También cuando deseas utilizar datos para fines que no se mencionaron en la información de protección de datos original, se requiere un consentimiento.
¿Quién es responsable en términos de protección de datos en la mediación?
La persona o entidad responsable en términos de GDPR es aquella que decide sobre el propósito y los medios del procesamiento de datos. En la mediación, son los mediadores.
Esto significa, en la práctica: Usted es responsable del manejo de los datos. Debe cumplir con los principios de protección de datos, informar sobre el procesamiento, respetar los derechos de las personas afectadas y implementar medidas técnicas y organizativas adecuadas para proteger los datos.
¿Qué datos de mediación debo conservar y por cuánto tiempo?
Los datos personales solo pueden ser almacenados mientras exista una base legal para ello o mientras los datos sean necesarios para el propósito correspondiente. No hay un plazo estándar fijo.
Para los abogados y abogadas, se aplica un plazo de conservación de cinco años para los documentos de trabajo según el § 50 Abs. 2 BRAO. Sin embargo, plazos más largos pueden surgir, por ejemplo, del § 147 AO, de litigios pendientes o del § 3 Abs. 3 de la Ley de Mediación.
Una vez que el propósito ya no exista, los datos deben ser eliminados.
Subasta
