GDPR

 

I. Introduzione

Dal 25 maggio 2018 il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) è entrato ufficialmente in vigore in Germania e in tutti gli altri Stati membri dell’Unione europea. Per garantire l’attuazione di questo regolamento, la Germania ha aggiornato e modificato la propria Legge federale sulla protezione dei dati (Bundesdatenschutzgesetz, BDSG).

Il Commissario federale per la protezione dei dati e la libertà di informazione (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), insieme alle autorità di protezione dei dati dei singoli Länder, è responsabile della supervisione, dell’orientamento e dell’applicazione delle norme previste dal GDPR e dalle relative disposizioni nazionali.

Il sistema di protezione dei dati in Germania segue pienamente i principi stabiliti dal GDPR, integrandoli con requisiti giuridici specifici previsti dalla normativa tedesca, con l’obiettivo di garantire un livello elevato di tutela dei dati personali.

II. Ambito di applicazione

Le norme di attuazione del GDPR in Germania si applicano a:

tutti i titolari del trattamento (Verantwortlicher) o responsabili del trattamento (Auftragsverarbeiter) che operano o sono stabiliti in Germania;

organizzazioni o imprese situate al di fuori della Germania che offrono beni o servizi a persone che si trovano in Germania oppure che monitorano il comportamento di tali persone all’interno del territorio tedesco.

La normativa si applica indipendentemente dal luogo in cui avviene il trattamento dei dati. Se i dati personali riguardano persone che si trovano in Germania, tali trattamenti rientrano nell’ambito di applicazione della legge.

Le disposizioni riguardano sia il trattamento automatizzato dei dati sia il trattamento non automatizzato quando i dati fanno parte di un sistema di archiviazione organizzato. Non rientrano invece nell’ambito di applicazione i trattamenti effettuati esclusivamente per finalità personali o domestiche.

III. Principi del trattamento dei dati

Liceità, correttezza e trasparenza: ogni trattamento dei dati personali deve avere una base giuridica chiara e gli interessati devono essere informati in modo comprensibile sulle finalità e sulle modalità del trattamento.

Limitazione delle finalità: i dati personali possono essere raccolti e utilizzati solo per finalità specifiche e legittime e non possono essere utilizzati per scopi incompatibili con quelli inizialmente dichiarati.

Minimizzazione dei dati: devono essere raccolti soltanto i dati realmente necessari per raggiungere la finalità prevista.

Esattezza dei dati: i dati personali devono essere corretti, completi e aggiornati quando necessario.

Limitazione della conservazione: i dati devono essere conservati solo per il periodo necessario al raggiungimento dello scopo del trattamento e successivamente devono essere cancellati o resi anonimi.

Sicurezza e riservatezza: titolari e responsabili del trattamento devono adottare adeguate misure tecniche e organizzative per proteggere i dati da accessi non autorizzati, perdita, distruzione o alterazione.

IV. Diritti degli interessati

Secondo il GDPR e la normativa tedesca, le persone hanno diversi diritti in relazione ai propri dati personali:

Diritto all’informazione e di accesso: gli interessati hanno il diritto di sapere quali dati vengono raccolti e come vengono trattati, nonché di accedervi.

Diritto di rettifica: è possibile richiedere la correzione di dati inesatti o incompleti.

Diritto alla cancellazione (diritto all’oblio): in determinate circostanze è possibile richiedere la cancellazione dei propri dati personali.

Diritto alla limitazione del trattamento: in alcune situazioni gli interessati possono richiedere che l’utilizzo dei dati venga limitato.

Diritto alla portabilità dei dati: gli interessati possono ricevere i propri dati in un formato strutturato, di uso comune e leggibile e trasferirli a un altro titolare del trattamento.

Diritto di opposizione: è possibile opporsi al trattamento dei dati basato su interessi legittimi o su motivi di interesse pubblico.

Diritti relativi alle decisioni automatizzate: quando il trattamento comporta decisioni automatizzate, incluse attività di analisi o previsione, gli interessati hanno il diritto di essere informati, di opporsi e di richiedere l’intervento umano.

Per i minori di età inferiore a 16 anni, il trattamento dei dati personali richiede il consenso dei genitori o del tutore legale e le informazioni devono essere fornite con un linguaggio semplice e facilmente comprensibile.

V. Obblighi dei responsabili del trattamento

I responsabili del trattamento devono trattare i dati personali esclusivamente seguendo le istruzioni scritte del titolare del trattamento.

Devono adottare adeguate misure tecniche e organizzative per garantire la sicurezza dei dati personali.

Devono inoltre assistere il titolare del trattamento nel rispetto degli obblighi previsti dal GDPR, compresa la gestione delle richieste presentate dagli interessati.

In caso di violazione dei dati personali, il responsabile del trattamento deve informare immediatamente il titolare del trattamento, il quale è tenuto a notificare l’evento al BfDI entro 72 ore.

Il titolare del trattamento deve inoltre mantenere un registro delle attività di trattamento e, nei casi in cui il trattamento presenti rischi elevati per i diritti e le libertà delle persone, effettuare una valutazione d’impatto sulla protezione dei dati (DPIA).

Alcune organizzazioni devono anche nominare un responsabile della protezione dei dati (DPO) e registrarlo presso l’autorità di controllo competente.

VI. Trasferimento internazionale dei dati

Quando i dati personali vengono trasferiti verso paesi situati al di fuori dell’Unione europea, il titolare del trattamento deve garantire che il paese destinatario offra un livello adeguato di protezione dei dati personali. Questo può avvenire tramite:

una decisione di adeguatezza adottata dalla Commissione europea;

la firma delle Clausole Contrattuali Standard dell’Unione europea (SCC);

altri meccanismi di trasferimento previsti e autorizzati dal GDPR.

Dopo l’annullamento del meccanismo “Privacy Shield” il 16 luglio 2020, le imprese tedesche devono utilizzare le nuove Clausole Contrattuali Standard dell’UE (versione del 4 giugno 2021) oppure altri strumenti giuridici conformi per il trasferimento dei dati.

VII. Supervisione e applicazione

Le autorità tedesche per la protezione dei dati, tra cui il BfDI e le autorità di controllo dei Länder (DSB), dispongono di ampi poteri di supervisione e di applicazione della normativa. Tali poteri includono:

emettere avvertimenti o richiedere la correzione di eventuali violazioni;

limitare o vietare specifiche attività di trattamento dei dati;

imporre sanzioni amministrative significative, che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dell’azienda, applicando l’importo più elevato.

La normativa tedesca consente inoltre alle persone di stabilire istruzioni chiare sul trattamento dei propri dati personali, comprese indicazioni relative all’utilizzo dei dati dopo la morte. In assenza di tali indicazioni, il trattamento dei dati deve comunque rispettare le disposizioni previste dalla legge.

Il sistema di attuazione del GDPR in Germania è stato progettato per proteggere i diritti delle persone in materia di dati personali, rafforzare la conformità delle organizzazioni e favorire la fiducia nel mondo digitale.