GDPR

I. Introduzione

Dal 25 maggio 2018 il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) è entrato ufficialmente in vigore in Germania e negli altri Stati membri dell’UE. Per attuare il GDPR, la Germania ha modificato la Legge federale sulla protezione dei dati (Bundesdatenschutzgesetz, di seguito BDSG).

Il Commissario federale per la protezione dei dati e la libertà di informazione (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, di seguito BfDI) e le autorità di protezione dei dati dei vari Länder sono responsabili della supervisione, della guida e dell’applicazione del GDPR e delle relative disposizioni nazionali di attuazione.

Il sistema di protezione dei dati in Germania è pienamente conforme al GDPR e integra inoltre specifici requisiti giuridici nazionali, al fine di garantire una protezione completa ed efficace dei dati personali.

II. Ambito di applicazione

Le disposizioni di attuazione del GDPR in Germania si applicano a:

tutti i titolari del trattamento (Verantwortlicher) o responsabili del trattamento (Auftragsverarbeiter) stabiliti nel territorio tedesco;

organizzazioni situate al di fuori della Germania che offrono beni o servizi a persone che si trovano in Germania oppure che monitorano il comportamento di tali persone nel territorio tedesco.

Indipendentemente dal fatto che il trattamento dei dati avvenga in Germania o all’estero, la normativa si applica qualora siano coinvolti dati personali di individui situati in Germania.

L’ambito di applicazione comprende sia il trattamento automatizzato dei dati sia il trattamento non automatizzato qualora faccia parte di un sistema di archiviazione strutturato. Sono invece esclusi i trattamenti effettuati esclusivamente per scopi personali o domestici.

III. Principi del trattamento dei dati

Liceità, correttezza e trasparenza: ogni trattamento dei dati deve basarsi su un fondamento giuridico chiaro e i soggetti interessati devono essere informati in modo trasparente sulle finalità e sulle modalità del trattamento.

Limitazione della finalità: i dati personali possono essere utilizzati solo per finalità specifiche e legittime e non possono essere trattati in modo incompatibile con tali finalità.

Minimizzazione dei dati: devono essere raccolti esclusivamente i dati necessari per il raggiungimento della finalità prevista.

Esattezza: i dati devono essere accurati, completi e, ove necessario, aggiornati tempestivamente.

Limitazione della conservazione: i dati devono essere conservati solo per il periodo necessario al conseguimento delle finalità del trattamento e successivamente devono essere cancellati o anonimizzati.

Sicurezza e riservatezza: titolari e responsabili del trattamento devono adottare adeguate misure tecniche e organizzative per prevenire accessi non autorizzati, perdita, alterazione o divulgazione dei dati.

IV. Diritti degli interessati

In base al GDPR e alla normativa tedesca, gli individui godono dei seguenti diritti:

Diritto all’informazione e di accesso: conoscere e ottenere accesso ai dati personali raccolti e alle modalità di trattamento.

Diritto di rettifica: richiedere la correzione di dati inesatti o incompleti.

Diritto alla cancellazione (diritto all’oblio): richiedere la cancellazione dei dati personali quando ricorrono le condizioni previste dalla legge.

Diritto alla limitazione del trattamento: ottenere la limitazione dell’uso dei dati in determinate circostanze.

Diritto alla portabilità dei dati: ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e trasferirli a un altro titolare del trattamento.

Diritto di opposizione: opporsi al trattamento basato su interessi legittimi o su motivi di interesse pubblico.

Diritti relativi alle decisioni automatizzate: nel caso di decisioni basate esclusivamente su trattamenti automatizzati (incluse analisi o previsioni), gli interessati hanno diritto a essere informati, a opporsi e a richiedere l’intervento umano.

Per i minori di età inferiore a 16 anni (disposizione specifica del GDPR in Germania), il trattamento dei dati richiede il consenso dei genitori o del tutore legale e le informazioni devono essere fornite con un linguaggio chiaro e comprensibile.

V. Obblighi dei responsabili del trattamento

I responsabili del trattamento devono trattare i dati esclusivamente sulla base delle istruzioni scritte del titolare del trattamento (Verantwortlicher).

Devono adottare adeguate misure tecniche e organizzative per garantire la sicurezza dei dati.

Devono assistere il titolare del trattamento nell’adempimento degli obblighi previsti dal GDPR, compresa la gestione delle richieste degli interessati.

In caso di violazione dei dati personali, il responsabile del trattamento deve informare immediatamente il titolare del trattamento, che dovrà notificare l’incidente al BfDI entro 72 ore.

Il titolare del trattamento deve mantenere un registro delle attività di trattamento e, nei casi in cui il trattamento presenti un rischio elevato, effettuare una valutazione d’impatto sulla protezione dei dati (DPIA).

Alcune organizzazioni sono inoltre tenute a nominare un responsabile della protezione dei dati (DPO) e a registrarlo presso l’autorità di controllo competente.

VI. Trasferimento internazionale dei dati

Quando i dati personali vengono trasferiti verso paesi al di fuori dell’Unione europea, il titolare del trattamento deve garantire che il paese destinatario offra un livello adeguato di protezione dei dati. Ciò può essere assicurato tramite:

una decisione di adeguatezza della Commissione europea;

la sottoscrizione delle Clausole Contrattuali Standard dell’UE (SCC);

altri meccanismi di trasferimento consentiti dal GDPR.

Dopo l’invalidazione del “Privacy Shield” il 16 luglio 2020, le imprese tedesche devono utilizzare le nuove Clausole Contrattuali Standard dell’UE (versione del 4 giugno 2021) oppure altri strumenti legali di trasferimento dei dati conformi al GDPR.

VII. Supervisione e applicazione

Le autorità tedesche per la protezione dei dati (BfDI e le autorità di controllo dei Länder, DSB) dispongono di ampi poteri di supervisione e di applicazione della normativa, tra cui:

emettere avvertimenti o ordini di adeguamento;

limitare o vietare determinate attività di trattamento dei dati;

imporre sanzioni amministrative elevate, fino a 20 milioni di euro oppure fino al 4% del fatturato globale annuo (si applica l’importo più elevato).

Inoltre, la normativa tedesca consente alle persone di fornire istruzioni esplicite in merito al trattamento dei propri dati, comprese disposizioni relative all’uso dei dati dopo la morte. In assenza di tali indicazioni, il trattamento dei dati deve comunque essere conforme alle disposizioni di legge.

Il quadro di attuazione del GDPR in Germania mira a tutelare i diritti relativi ai dati personali, rafforzare la conformità delle imprese e promuovere la fiducia nel contesto digitale.