GDPR

I. Introduzione

Dal 25 maggio 2018 il Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) è pienamente applicabile in Germania e negli altri Stati membri. Per adeguarsi al GDPR, la Germania ha aggiornato la propria Legge federale sulla protezione dei dati (Bundesdatenschutzgesetz, BDSG).

Il Commissario federale per la protezione dei dati e la libertà d’informazione (BfDI), insieme alle autorità di controllo dei singoli Stati federali, vigila sull’applicazione del GDPR e delle norme nazionali di attuazione, fornendo orientamento e intervenendo in caso di violazioni.

Il sistema tedesco di protezione dei dati si basa integralmente sul GDPR e integra specifiche disposizioni nazionali per garantire una tutela completa dei dati personali.

II. Ambito di applicazione

Le norme tedesche di attuazione del GDPR si applicano:

ai titolari e ai responsabili del trattamento stabiliti in Germania;

alle organizzazioni straniere che offrono beni o servizi a persone che si trovano in Germania o che monitorano il loro comportamento sul territorio tedesco.

La legge si applica anche quando il trattamento avviene al di fuori della Germania, purché riguardi dati personali di persone situate in Germania.

Rientrano nell’ambito sia i trattamenti automatizzati sia quelli non automatizzati inseriti in un sistema strutturato di archiviazione. Sono esclusi i trattamenti effettuati per fini esclusivamente personali o familiari.

III. Principi fondamentali del trattamento

Ogni trattamento deve essere lecito, corretto e trasparente, fondato su una base giuridica chiara e comunicato in modo comprensibile agli interessati.

I dati devono essere raccolti per finalità determinate e legittime e non utilizzati per scopi incompatibili.

Devono essere trattati solo i dati strettamente necessari rispetto alle finalità perseguite.

I dati devono essere esatti e aggiornati quando necessario.

La conservazione è consentita solo per il tempo indispensabile al raggiungimento delle finalità; successivamente i dati devono essere cancellati o resi anonimi.

Devono essere adottate adeguate misure tecniche e organizzative per garantire sicurezza e riservatezza.

IV. Diritti delle persone interessate

Le persone fisiche dispongono, secondo il GDPR e la normativa tedesca, dei seguenti diritti:

ottenere informazioni e accedere ai propri dati;

chiedere la rettifica di dati inesatti o incompleti;

richiedere la cancellazione dei dati nei casi previsti dalla legge;

ottenere la limitazione del trattamento in determinate situazioni;

ricevere i dati in formato strutturato e trasferirli a un altro titolare;

opporsi al trattamento basato su legittimo interesse o interesse pubblico;

non essere soggetti esclusivamente a decisioni automatizzate senza adeguate garanzie, inclusa la possibilità di intervento umano.

Per i minori di 16 anni, il trattamento dei dati richiede il consenso dei genitori o del tutore legale e le informazioni devono essere fornite in modo chiaro e comprensibile.

V. Obblighi dei responsabili e dei titolari

Il responsabile del trattamento può trattare i dati solo su istruzione scritta del titolare.

Devono essere implementate misure di sicurezza adeguate.

Il responsabile deve collaborare con il titolare nell’adempimento degli obblighi previsti dal GDPR, comprese le richieste degli interessati.

In caso di violazione dei dati personali, il responsabile deve informare immediatamente il titolare, che è tenuto a notificare l’autorità competente entro 72 ore.

Il titolare deve mantenere un registro delle attività di trattamento e svolgere una valutazione d’impatto (DPIA) nei casi di rischio elevato.

In determinate circostanze è obbligatoria la nomina di un responsabile della protezione dei dati (DPO) e la relativa comunicazione all’autorità competente.

VI. Trasferimenti verso Paesi terzi

Il trasferimento di dati personali verso Paesi al di fuori dell’UE è consentito solo se è garantito un livello adeguato di protezione, attraverso una decisione di adeguatezza della Commissione europea, l’utilizzo delle Clausole Contrattuali Standard o altri strumenti previsti dal GDPR.

Dopo l’annullamento del Privacy Shield nel luglio 2020, le imprese tedesche devono ricorrere alle Clausole Contrattuali Standard aggiornate del 4 giugno 2021 o ad altri meccanismi conformi.

VII. Controllo e sanzioni

Le autorità tedesche di protezione dei dati dispongono di ampi poteri di controllo, tra cui l’emissione di avvertimenti, l’adozione di misure correttive, la limitazione o il divieto di trattamenti e l’irrogazione di sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo mondiale.

La normativa tedesca consente inoltre agli individui di fornire istruzioni esplicite sul trattamento dei propri dati, anche per il periodo successivo al decesso. In mancanza di tali indicazioni, il trattamento deve avvenire nel rispetto delle disposizioni di legge.

L’attuazione del GDPR in Germania ha l’obiettivo di garantire la tutela effettiva dei diritti delle persone, rafforzare la conformità aziendale e promuovere la fiducia nell’ambien

te digitale.