GDPR

 

I. Introduzione

A partire dal 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) è divenuto pienamente applicabile in Germania e negli altri Stati membri dell’Unione Europea. Per assicurare la corretta attuazione del GDPR, la Germania ha aggiornato la propria Legge federale sulla protezione dei dati (Bundesdatenschutzgesetz – BDSG).

Il controllo e l’applicazione della normativa sono affidati al Commissario federale per la protezione dei dati e la libertà d’informazione (BfDI) e alle autorità competenti dei singoli Länder, che svolgono funzioni di vigilanza, orientamento e intervento.

Il sistema tedesco si fonda integralmente sui principi del GDPR e integra requisiti nazionali specifici volti a garantire un livello elevato e concreto di tutela dei dati personali.

II. Ambito di applicazione

La disciplina si applica:

ai titolari e ai responsabili del trattamento stabiliti in Germania;

alle organizzazioni estere che offrono beni o servizi a persone presenti in Germania o che ne monitorano il comportamento sul territorio tedesco.

La normativa si applica anche quando il trattamento avviene al di fuori della Germania, purché riguardi dati personali di soggetti situati nel territorio tedesco.

Sono inclusi sia i trattamenti automatizzati sia quelli non automatizzati inseriti in un sistema di archiviazione strutturato. Restano esclusi i trattamenti effettuati esclusivamente per finalità private o familiari.

III. Principi del trattamento

Ogni trattamento deve rispettare principi fondamentali:

Liceità, correttezza e trasparenza: il trattamento deve basarsi su una base giuridica valida e l’interessato deve essere informato in modo chiaro.

Limitazione della finalità: i dati non possono essere utilizzati per scopi diversi da quelli inizialmente dichiarati e legittimi.

Minimizzazione: devono essere raccolti soltanto i dati realmente necessari.

Esattezza: i dati devono essere corretti e aggiornati.

Limitazione della conservazione: i dati devono essere conservati solo per il tempo strettamente necessario e successivamente eliminati o anonimizzati.

Sicurezza e riservatezza: devono essere adottate misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdite o manipolazioni.

IV. Diritti degli interessati

Le persone i cui dati sono trattati hanno diritto a:

essere informate e accedere ai propri dati;

ottenere la rettifica di dati inesatti;

richiedere la cancellazione nei casi previsti;

ottenere la limitazione del trattamento;

ricevere i propri dati in formato strutturato e trasferirli ad altro titolare;

opporsi al trattamento basato su interessi legittimi o pubblici;

non essere soggette a decisioni esclusivamente automatizzate senza adeguate garanzie, incluso il diritto all’intervento umano.

Per i minori di 16 anni, il trattamento richiede il consenso dei genitori o del tutore legale e le informazioni devono essere formulate in modo facilmente comprensibile.

V. Obblighi dei soggetti coinvolti nel trattamento

Il responsabile del trattamento deve operare esclusivamente secondo le istruzioni scritte del titolare.

Devono essere implementate misure adeguate di sicurezza tecnica e organizzativa.

Il responsabile deve assistere il titolare nell’adempimento degli obblighi normativi, inclusa la gestione delle richieste degli interessati.

In caso di violazione dei dati, il responsabile informa tempestivamente il titolare, che deve notificare l’autorità competente entro 72 ore.

Il titolare deve mantenere un registro delle attività di trattamento e svolgere una valutazione d’impatto nei casi di rischio elevato.

Quando previsto, deve essere nominato un Responsabile della protezione dei dati (DPO).

VI. Trasferimenti internazionali

Il trasferimento di dati verso Paesi terzi è consentito solo se viene garantito un livello adeguato di protezione, tramite decisione di adeguatezza della Commissione europea, Clausole Contrattuali Standard o altri strumenti giuridici ammessi.

Dopo l’annullamento del Privacy Shield nel luglio 2020, è necessario utilizzare le Clausole Contrattuali Standard aggiornate del 4 giugno 2021 o altre basi legittime di trasferimento.

VII. Vigilanza e sanzioni

Le autorità tedesche possono adottare misure correttive, imporre limitazioni o divieti e irrogare sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, se superiore.

La normativa tedesca consente inoltre di esprimere disposizioni specifiche sull’utilizzo dei propri dati anche dopo la morte. In mancanza di indicazioni esplicite, il trattamento deve rispettare le disposizioni di legge.

Il sistema di attuazione del GDPR in Germania è finalizzato a proteggere in modo effettivo i diritti delle persone, rafforzare la conformità delle organizzazioni e promuovere la fiducia nell’ambiente digitale.