La legge n° 124/2024 “Sulla protezione dei dati personali” è stata proclamata con decreto del Presidente della Repubblica di Albania il 15 gennaio 2025 ed è stata pubblicata nella Gazzetta Ufficiale. Questa legge stabilisce le norme relative al trattamento e alla protezione dei dati personali in Albania ed è armonizzata con il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea.
Il trattamento dei dati personali include ogni azione o insieme di azioni compiute su dati personali, indipendentemente dal fatto che vengano realizzate con mezzi automatizzati o meno. Tali azioni possono includere la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, la modifica, il recupero, la consultazione, l’uso, la diffusione, la messa a disposizione, il collegamento, la combinazione, la limitazione, la cancellazione o la distruzione dei dati.
Questa legge si applica quando i dati personali sono trattati interamente o parzialmente con mezzi automatizzati, nonché per il trattamento di dati personali che fanno parte o sono destinati a fare parte di un sistema di archiviazione, anche se il trattamento non è effettuato con mezzi automatizzati. Inoltre, l’ambito di applicazione della legge non è limitato al territorio dell’Albania, ma si estende anche agli operatori stranieri che trattano i dati personali dei soggetti albanesi.
Il consenso per il trattamento dei dati personali deve essere espresso liberamente, in modo informato e chiaro, mediante una dichiarazione o qualsiasi altra manifestazione inequivocabile di volontà. Gli interessati hanno il diritto di ritirare il consenso in qualsiasi momento. Per i minori di 16 anni, il consenso deve essere espresso con l’approvazione dei genitori o dei tutori legali. Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha fornito il consenso per il trattamento dei suoi dati.
Il trattamento dei dati personali deve essere lecito, trasparente e giusto. I dati non devono essere raccolti più di quanto necessario e devono essere conservati solo per il tempo necessario al fine per il quale vengono trattati. Le misure tecniche e organizzative devono garantire l’integrità e la riservatezza dei dati.
Il titolare del trattamento o il responsabile del trattamento è obbligato a mettere i dati a disposizione del Commissario per la protezione dei dati personali, su richiesta.
Sono esentate dall’obbligo di documentare i dati le società commerciali o le organizzazioni con meno di 250 dipendenti, salvo nei casi in cui:
- Il trattamento può comportare un rischio per i diritti e le libertà degli interessati.
- Il trattamento non è occasionale.
- Il trattamento include dati sensibili o dati penali.
Ogni violazione della sicurezza che possa mettere a rischio i dati personali deve essere segnalata alle autorità competenti entro 72 ore.
Il Commissario per la protezione dei dati personali monitora e applica la legge, esamina i reclami e adotta misure amministrative in caso di violazioni.
Questa nuova legge abroga la legge e gli atti precedenti in vigore, portando un quadro giuridico più vicino a quello dell’Unione Europea.
