GDPR

I. Introduzione

Dal 25 maggio 2018 il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) è entrato ufficialmente in vigore in Germania e negli altri Stati membri dell’UE. Per dare attuazione al GDPR, la Germania ha modificato la Legge federale sulla protezione dei dati (Bundesdatenschutzgesetz, di seguito BDSG).

Il Commissario federale per la protezione dei dati e la libertà d’informazione (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), insieme alle autorità di protezione dei dati dei singoli Länder, è responsabile della supervisione, dell’orientamento e dell’applicazione del GDPR e delle relative disposizioni nazionali di attuazione.

Il sistema tedesco di protezione dei dati è pienamente conforme al GDPR e integra specifiche disposizioni previste dal diritto tedesco, al fine di garantire un elevato livello di tutela dei dati personali.

II. Ambito di applicazione

Le disposizioni tedesche di attuazione del GDPR si applicano:

a tutti i titolari del trattamento (Verantwortlicher) o responsabili del trattamento (Auftragsverarbeiter) stabiliti nel territorio della Germania;

alle organizzazioni con sede all’estero che offrono beni o servizi a persone situate in Germania oppure che ne monitorano il comportamento all’interno del territorio tedesco.

La normativa si applica indipendentemente dal fatto che il trattamento dei dati avvenga in Germania o all’estero, purché riguardi dati personali di soggetti situati in Germania.

L’ambito di applicazione comprende sia il trattamento automatizzato dei dati sia il trattamento non automatizzato che costituisce parte di un sistema di archiviazione. Restano esclusi i trattamenti effettuati esclusivamente per finalità personali o domestiche.

III. Principi del trattamento dei dati

Liceità, correttezza e trasparenza: ogni trattamento deve basarsi su una chiara base giuridica e le finalità e modalità del trattamento devono essere comunicate in modo trasparente agli interessati.

Limitazione della finalità: i dati personali possono essere utilizzati unicamente per finalità determinate e legittime e non possono essere trattati in modo incompatibile con tali finalità.

Minimizzazione dei dati: devono essere raccolti esclusivamente i dati strettamente necessari al conseguimento delle finalità specifiche.

Esattezza: i dati devono essere accurati, completi e, se necessario, aggiornati tempestivamente.

Limitazione della conservazione: i dati possono essere conservati solo per il periodo necessario al raggiungimento delle finalità del trattamento; successivamente devono essere cancellati o anonimizzati.

Integrità e riservatezza: il titolare e il responsabile del trattamento devono adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, divulgazioni, alterazioni o perdite dei dati.

IV. Diritti degli interessati

Ai sensi del GDPR e della normativa tedesca, le persone fisiche godono dei seguenti diritti:

Diritto all’informazione e di accesso: ottenere informazioni sui dati raccolti e accedere ai dati trattati nonché alle modalità di trattamento.

Diritto di rettifica: richiedere la correzione di dati inesatti o incompleti.

Diritto alla cancellazione (diritto all’oblio): richiedere la cancellazione dei dati personali qualora sussistano le condizioni previste dalla legge.

Diritto alla limitazione del trattamento: ottenere la limitazione del trattamento in determinate circostanze.

Diritto alla portabilità dei dati: ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico e trasferirli a un altro titolare del trattamento.

Diritto di opposizione: opporsi al trattamento basato su un legittimo interesse o su un interesse pubblico.

Diritti in relazione a decisioni automatizzate: nel caso di processi decisionali automatizzati, comprese attività di analisi e previsione, l’interessato ha diritto all’informazione, all’opposizione e all’intervento umano.

Per i minori di età inferiore ai 16 anni, secondo le specifiche disposizioni tedesche, il trattamento dei dati richiede il consenso dei genitori o del tutore legale e le informazioni devono essere fornite in un linguaggio chiaro e comprensibile.

V. Obblighi dei responsabili del trattamento

Il responsabile del trattamento deve trattare i dati esclusivamente sulla base di istruzioni scritte del titolare del trattamento.

Devono essere adottate misure tecniche e organizzative adeguate per garantire la sicurezza dei dati.

Il responsabile deve assistere il titolare nell’adempimento degli obblighi previsti dal GDPR, inclusa la gestione delle richieste degli interessati.

In caso di violazione dei dati personali, il responsabile è tenuto a informare immediatamente il titolare, il quale deve notificare l’evento al BfDI entro 72 ore.

Il titolare deve mantenere un registro delle attività di trattamento e, nei casi di trattamento ad alto rischio, effettuare una valutazione d’impatto sulla protezione dei dati (DPIA).

Talune organizzazioni sono obbligate a nominare un responsabile della protezione dei dati (DPO) e a registrarlo presso l’autorità di controllo competente.

VI. Trasferimenti internazionali di dati

In caso di trasferimento di dati personali verso Paesi al di fuori dell’Unione europea, il titolare deve garantire che il Paese destinatario offra un livello adeguato di protezione dei dati, attraverso uno dei seguenti strumenti:

una decisione di adeguatezza della Commissione europea;

la sottoscrizione delle Clausole Contrattuali Standard dell’UE (SCC);

altri meccanismi di trasferimento leciti previsti dal GDPR.

Dopo l’invalidazione del “Privacy Shield” il 16 luglio 2020, le imprese tedesche devono utilizzare le Clausole Contrattuali Standard aggiornate dell’UE del 4 giugno 2021 o altre modalità di trasferimento conformi alla legge.

VII. Vigilanza e applicazione

Le autorità tedesche per la protezione dei dati, tra cui il BfDI e le autorità dei Länder (DSB), dispongono di ampi poteri di controllo ed esecuzione, tra cui:

emettere avvertimenti o ordinare misure correttive;

limitare o vietare determinate attività di trattamento;

irrogare sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale, se superiore.

Inoltre, la normativa tedesca consente alle persone di impartire disposizioni esplicite in merito al trattamento dei propri dati, anche per il periodo successivo alla morte. In assenza di istruzioni specifiche, il trattamento deve avvenire nel rispetto delle disposizioni di legge.

Il quadro tedesco di applicazione del GDPR mira a tutelare i diritti delle persone fisiche, rafforzare la conformità delle imprese e promuovere la fiducia nel contesto digitale.