Nuova legge sulla protezione dei dati personali – L’avvocato Denisa Dedej ci spiega tutto ciò che dobbiamo tenere a mente!

Di Eni Muça

link https://businessmag.al/ligji-i-ri-per-mbrojtjen-e-te-dhenave-personale-avokatja-denisa-dedej-na-tregon-gjithcka-qe-duhet-te-kemi-parasysh/

Nel mese di febbraio 2025 è entrata in vigore in Albania la Legge n. 124/2024 sulla Protezione dei Dati Personali. Questa legge, armonizzata con il Regolamento Generale sulla Protezione dei Dati (GDPR – UE 679/2016), stabilisce nuovi requisiti per tutti i soggetti che trattano dati personali, incluse le imprese private e le istituzioni pubbliche. Per approfondire questi aspetti, abbiamo condotto un’intervista con l’avvocata Denisa Dedej.

Che cos’è il GDPR e quali sono gli obblighi che ne derivano?

Il GDPR (Regolamento Generale sulla Protezione dei Dati – UE 2016/679) è la principale normativa dell’UE in materia di protezione dei dati personali e si applica a tutte le organizzazioni che trattano i dati di individui all’interno dell’UE, o che offrono servizi a individui all’interno dell’UE, indipendentemente dalla loro localizzazione.

Obblighi principali del GDPR

• Trattamento responsabile dei dati: i dati devono essere trattati in modo lecito, trasparente e solo per finalità chiare. Deve essere raccolte solo l’informazione necessaria, che deve essere accurata e conservata in modo sicuro.

• Basi giuridiche per il trattamento: i dati possono essere trattati solo se esiste una motivazione valida, come: il consenso dell’interessato; un obbligo legale; un contratto (ad es., i dati dei clienti per un servizio); l’interesse pubblico o legittimo (ad es., misure di sicurezza in un’azienda).

• Diritti degli interessati: ogni persona ha il diritto di: richiedere informazioni sui propri dati; correggere i dati inesatti; richiedere la cancellazione dei propri dati; trasferire i dati a un’altra parte; opporsi al trattamento dei dati per scopi specifici.

• Trasparenza: gli individui devono essere informati in modo chiaro e comprensibile su come vengono utilizzati i loro dati.

• Sicurezza: le imprese e le organizzazioni devono adottare misure per proteggere i dati dalla perdita, dal furto o dall’uso improprio e notificare le autorità entro 72 ore in caso di violazione della sicurezza.

• Nomina di un DPO (Responsabile della Protezione dei Dati): alcune organizzazioni, specialmente quelle che trattano grandi quantità di dati personali, devono nominare un esperto per supervisionare la conformità al GDPR.

• Trasferimento dei dati al di fuori dell’UE: è vietato, a meno che il paese destinatario non disponga di misure di protezione adeguate.

• Multe e sanzioni: le violazioni del GDPR possono essere punite con multe fino a 20 milioni di euro o il 4% del fatturato annuo globale dell’azienda.

2. L’economia albanese, sotto molti aspetti, sta lavorando per allinearsi alle normative dell’UE nel quadro del processo di integrazione del paese nell’Unione. Questo significa che devono esserci cambiamenti anche nell’adeguamento della legge sulla Protezione dei Dati?

La Legge n. 124/2024 sulla protezione dei dati personali è entrata in vigore nel febbraio 2025 e rappresenta un passo importante per l’allineamento della legislazione albanese con le regole del GDPR dell’Unione Europea.

Questa legge comporta un aumento della protezione dei dati personali, rafforzando i diritti degli individui e incrementando le responsabilità delle organizzazioni che trattano dati. Essa include obblighi più rigorosi per la sicurezza dei dati e per la conformità agli standard internazionali, offrendo all’Albania l’opportunità di soddisfare i requisiti dell’UE e di consentire il trasferimento dei dati in un ambiente internazionale sicuro.

3. Se sì, quali sono i passi successivi che devono essere intrapresi?

Dopo l’entrata in vigore della Legge n. 124/2024 sulla protezione dei dati personali, è necessario intraprendere alcuni passi importanti per garantire la conformità e la sua applicazione efficace. Ecco alcuni dei passaggi chiave:

• Aggiornamento delle policy e delle procedure interne: Le organizzazioni devono rivalutare e aggiornare le proprie politiche e procedure di protezione dei dati per allinearle ai requisiti della nuova legge. Ciò può includere la creazione di procedure per la raccolta, il trattamento, la conservazione e la cancellazione dei dati personali.

• Formazione del personale: È importante che tutti i dipendenti, inclusi manager e dirigenti, siano formati per comprendere e attuare gli obblighi di legge. Ciò può includere la formazione relativa ai diritti degli individui, ai processi di richiesta dei dati e alle modalità di gestione di eventuali violazioni.

• Nomina di un DPO (Responsabile della Protezione dei Dati): Le organizzazioni che trattano dati su larga scala, o che svolgono attività che richiedono la protezione di dati sensibili, devono nominare un Responsabile della Protezione dei Dati (DPO), che avrà la responsabilità di monitorare l’applicazione della legge e di consigliare l’organizzazione in merito alle pratiche di protezione dei dati. (Questo vale per imprese che offrono servizi finanziari, banche, assicurazioni, ospedali, aziende che trattano informazioni sanitarie, aziende che elaborano dati personali di molti individui come le piattaforme di marketing digitale, aziende che gestiscono i dati dei dipendenti, ecc.)

• Revisione degli accordi con terze parti: Ogni contratto che prevede la condivisione di dati con terze parti deve essere rivisto e aggiornato per garantire che anche tali soggetti rispettino gli standard di protezione dei dati, inclusi gli accordi per il trattamento dei dati.

• Creazione di una procedura per la segnalazione delle violazioni: La legge richiede che le violazioni dei dati vengano segnalate entro 72 ore. Ciò richiederà la creazione di una procedura chiara ed efficiente per identificare, registrare e segnalare qualsiasi potenziale incidente di sicurezza che influisca sui dati personali.

• Monitoraggio e vigilanza continua: Dopo l’attuazione della legge, è importante monitorare costantemente le pratiche di trattamento dei dati e adottare misure preventive qualora vengano identificati potenziali rischi per la protezione dei dati personali.

4. Cosa deve tenere a mente oggi un’azienda che conserva i dati dei clienti e degli utenti in un database, dall’indirizzo email fino alle tracce dei pagamenti online? Quali misure deve adottare per essere legalmente “protetta”?

Un’azienda che conserva i dati dei clienti deve adottare le seguenti misure per essere conforme alla Legge sulla protezione dei dati e al GDPR:

• Sicurezza tecnica: Criptazione dei dati, utilizzo di firewall e gestione dell’accesso sicuro per prevenire accessi non autorizzati.

• Consenso e trasparenza: Garantire il consenso chiaro degli utenti per la raccolta e l’utilizzo dei dati, e informarli sulle modalità di trattamento.

• Conservazione e cancellazione dei dati: I dati devono essere conservati solo per il tempo necessario e cancellati dopo tale periodo.

• Formazione del personale: Educare i dipendenti sulle pratiche di protezione dei dati e sul GDPR.

• Gestione delle violazioni dei dati: Creazione di una procedura per la segnalazione delle violazioni e per le azioni successive da intraprendere entro 72 ore.

• Trasferimento dei dati: Garantire che ogni trasferimento di dati all’estero avvenga in conformità con i requisiti di legge.

• DPO (Responsabile della Protezione dei Dati): Se necessario, la nomina di un DPO per supervisionare la conformità alla legge e fornire consulenza sulle pratiche di protezione dei dati.

Le aziende albanesi sono abbastanza informate?

Di recente, le aziende albanesi hanno iniziato a comprendere l’importanza del GDPR, ma non sono ancora sufficientemente informate e preparate per attuare pienamente la legge. In particolare, le aziende estere sono più familiari con i requisiti normativi, poiché spesso sono già tenute ad applicare il GDPR nei loro paesi di origine.

D’altra parte, molte banche e istituzioni finanziarie sono già in conformità con la legge, assicurandosi che le loro pratiche siano allineate agli standard internazionali di protezione dei dati. Tuttavia, c’è ancora molto lavoro da fare per garantire che ogni impresa, a prescindere dalle dimensioni e dall’origine, comprenda e applichi pienamente queste regole.

Le sfide principali riscontrate quotidianamente in relazione al GDPR sono:

• Mancanza di conoscenze: Molte aziende non sono ancora sufficientemente informate sui requisiti di legge.

• Complessità della legge: Il GDPR è una normativa articolata, il che crea incertezza per quanto riguarda la sua implementazione.

• Costi e risorse: L’adozione di misure di sicurezza richiede risorse spesso difficili da reperire, specialmente per le piccole imprese.

• Possibili violazioni dei dati: Le aziende incontrano difficoltà nel proteggere i dati da attacchi informatici e violazioni.

• Adattamento alla normativa internazionale: L’adeguamento della legislazione albanese al GDPR rappresenta una sfida per le imprese che operano a livello internazionale.

Per concludere questa intervista, è evidente che l’allineamento della legge albanese agli standard del GDPR costituisce un passo importante verso l’integrazione europea e la creazione di un ambiente più sicuro per i dati personali nel Paese. Secondo l’avvocata Denisa Dedej, la consapevolezza delle imprese albanesi sull’importanza della protezione dei dati è in crescita, ma sono ancora necessari maggiore informazione, formazione e preparazione per l’applicazione efficace della nuova legge.

Il miglioramento delle politiche sulla privacy, la formazione del personale e la creazione di procedure chiare per la segnalazione delle violazioni rimangono le sfide principali per raggiungere la piena conformità al GDPR. Le aziende albanesi devono comprendere che la protezione dei dati personali non è solo un obbligo di legge, ma anche un’opportunità per guadagnare la fiducia dei clienti e migliorare la propria reputazione nel mercato interno e internazionale.

Articolo esclusivo di Business Magazine Albania. Questo articolo è protetto dal diritto d’autore ai sensi della Legge n. 35/2016, “Sul diritto d’autore e sui diritti connessi”. L’articolo può essere ripubblicato da altri media solo citando “Business Magazine Albania” e inserendo il link dell’articolo originale.