GDPR

I. Introduzione

Dal 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea è entrato ufficialmente in vigore in Germania e negli altri Stati membri dell’UE. Per dare attuazione al GDPR, la Germania ha modificato la Legge federale sulla protezione dei dati (Bundesdatenschutzgesetz, di seguito “BDSG”).

Il Commissario federale per la protezione dei dati e la libertà d’informazione (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, “BfDI”) nonché le autorità di protezione dei dati dei singoli Länder sono responsabili della supervisione, dell’orientamento e dell’applicazione del GDPR e delle relative disposizioni nazionali di attuazione.

Il sistema tedesco di protezione dei dati è pienamente conforme al GDPR e integra specifiche disposizioni giuridiche nazionali al fine di garantire un livello elevato di tutela dei dati personali.

II. Ambito di applicazione

Le disposizioni tedesche di attuazione del GDPR si applicano:

a tutti i titolari del trattamento (Verantwortlicher) o responsabili del trattamento (Auftragsverarbeiter) stabiliti nel territorio tedesco;

alle organizzazioni stabilite al di fuori della Germania che offrono beni o servizi a persone situate in Germania oppure che monitorano il loro comportamento nel territorio tedesco.

Indipendentemente dal luogo in cui avviene il trattamento, qualora siano coinvolti dati personali di persone situate in Germania, la normativa è applicabile.

L’ambito di applicazione comprende sia il trattamento automatizzato dei dati sia il trattamento non automatizzato qualora faccia parte di un sistema di archiviazione. Sono esclusi i trattamenti effettuati per finalità esclusivamente personali o domestiche.

III. Principi del trattamento dei dati

Liceità, correttezza e trasparenza: ogni trattamento deve fondarsi su una base giuridica chiara e deve informare in modo trasparente l’interessato circa le finalità e le modalità del trattamento.

Limitazione della finalità: i dati personali possono essere trattati esclusivamente per finalità determinate e legittime e non possono essere utilizzati in modo incompatibile con tali finalità.

Minimizzazione dei dati: devono essere raccolti unicamente i dati strettamente necessari al raggiungimento delle finalità previste.

Esattezza: i dati devono essere accurati, completi e, se necessario, aggiornati tempestivamente.

Limitazione della conservazione: i dati devono essere conservati solo per il tempo necessario al conseguimento delle finalità del trattamento e successivamente cancellati o anonimizzati.

Integrità e riservatezza: il titolare e il responsabile del trattamento devono adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdite, alterazioni o divulgazioni dei dati.

IV. Diritti dell’interessato

Ai sensi del GDPR e della normativa tedesca, gli interessati godono dei seguenti diritti:

Diritto all’informazione e di accesso: ottenere informazioni e accedere ai dati raccolti e alle modalità del loro trattamento.

Diritto di rettifica: richiedere la correzione di dati inesatti o incompleti.

Diritto alla cancellazione (diritto all’oblio): ottenere la cancellazione dei dati personali nei casi previsti dalla legge.

Diritto alla limitazione del trattamento: ottenere la limitazione dell’uso dei dati in determinate circostanze.

Diritto alla portabilità dei dati: ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli ad altro titolare.

Diritto di opposizione: opporsi al trattamento fondato su interesse legittimo o interesse pubblico.

Diritto relativo a decisioni automatizzate: in caso di decisioni basate unicamente su trattamenti automatizzati (incluse analisi e profilazioni), l’interessato ha diritto all’informazione, all’opposizione e all’intervento umano.

Per i minori di età inferiore a 16 anni (secondo la disciplina specifica applicabile in Germania), il trattamento dei dati richiede il consenso dei genitori o del tutore legale e le informazioni devono essere fornite in linguaggio chiaro e comprensibile.

V. Obblighi del responsabile del trattamento

Il responsabile del trattamento deve attenersi rigorosamente alle istruzioni scritte del titolare (Verantwortlicher).

Deve implementare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati.

È tenuto ad assistere il titolare nell’adempimento degli obblighi previsti dal GDPR, inclusa la gestione delle richieste degli interessati.

In caso di violazione dei dati personali, il responsabile deve informare immediatamente il titolare, il quale è tenuto a notificare la violazione al BfDI entro 72 ore.

Il titolare deve mantenere un registro delle attività di trattamento e, in caso di trattamenti ad alto rischio, effettuare una valutazione d’impatto sulla protezione dei dati (DPIA).

Determinati soggetti sono obbligati a nominare un responsabile della protezione dei dati (DPO) e a registrarlo presso l’autorità di controllo competente.

VI. Trasferimento internazionale dei dati

In caso di trasferimento di dati personali verso Paesi al di fuori dell’Unione Europea, il titolare deve garantire un livello adeguato di protezione nel Paese destinatario, mediante:

una decisione di adeguatezza della Commissione europea;

la sottoscrizione di Clausole Contrattuali Standard (SCC);

altri meccanismi di trasferimento ammessi dal GDPR.

Dopo l’invalidazione del “Privacy Shield” (16 luglio 2020), le imprese tedesche devono adottare le Clausole Contrattuali Standard aggiornate (versione del 4 giugno 2021) o altri strumenti giuridici idonei per il trasferimento dei dati.

VII. Vigilanza ed esecuzione

Le autorità tedesche per la protezione dei dati (BfDI e autorità dei Länder) dispongono di ampi poteri di controllo ed esecuzione:

emettere avvertimenti o ordini correttivi;

limitare o vietare attività di trattamento;

irrogare sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo mondiale (se superiore).

La normativa tedesca consente inoltre alle persone di impartire disposizioni specifiche sul trattamento dei propri dati, anche per il periodo successivo al decesso. In assenza di indicazioni espresse, il trattamento deve avvenire nel rispetto della legge.

Il quadro tedesco di attuazione del GDPR mira a garantire i diritti fondamentali alla protezione dei dati personali, rafforzare la conformità delle imprese e promuovere la fiducia nell’economia digitale.