Argomenti trattati
Negli ultimi anni l’Albania ha rimodellato il proprio quadro sulla protezione dei dati per avvicinarsi agli standard europei. Con l’adozione della legge n.124/2026, che sostituisce la disciplina del 2008, il Paese dichiara un allineamento pieno al GDPR e alla direttiva 2016/680. La norma è entrata in vigore nel febbraio 2026 e si applica a tutti i soggetti stabiliti in Albania, siano essi titolari o responsabili del trattamento, indipendentemente dal luogo in cui avvengono le operazioni sui dati personali.
Dal punto di vista operativo, il nuovo assetto introduce obblighi analoghi a quelli già noti alle imprese europee: valutazioni d’impatto, registri delle attività, misure tecniche e organizzative, notifica delle violazioni e obbligo di collaborazione con l’autorità garante. Le sanzioni sono state rese più severe: per le violazioni più gravi la legge prevede ammende fino a 2 miliardi di lek (circa 17 milioni di euro) o al 4% del fatturato mondiale annuo. L’articolo 94 rinvia all’emanazione di linee guida sulle sanzioni e concede alle imprese un periodo transitorio di due anni, con scadenza gennaio 2027, per completare l’adeguamento.
Impatto operativo per chi lavora con l’Albania
L’introduzione di una normativa autonoma, pur ispirata al GDPR, comporta impatti pratici: l’Autorità albanese sta assumendo un ruolo più attivo nei controlli e nelle pareristiche, e le imprese devono considerare possibili differenze interpretative locali. In particolare, in assenza di una dichiarazione di adeguatezza da parte della Commissione europea, restano obbligatorie le attività connesse ai trasferimenti extra-UE, ovvero l’adozione di garanzie adeguate quando i dati escono dall’area UE/SEE. Questo approccio è comunque speculare a quanto già previsto nelle pratiche di compliance delle aziende italiane, ma richiede attenzione alla governance interna e alle procedure contrattuali con partner albanesi.
Esempio pratico: call center e servizi esternalizzati
Un caso emblematico riguarda i call center: un centro operativo in Albania che presta servizi a società italiane rimane soggetto alla normativa albanese anche quando le persone interessate si trovano in Italia. Le imprese dovranno quindi valutare le ricadute contrattuali e le modalità di risposta alle richieste degli interessati. La legge riconosce gli stessi diritti previsti dal GDPR, ma autorizza, per motivi di complessità o numero elevato di istanze, l’estensione del termine di risposta da 30 a 60 giorni.
Videosorveglianza e limiti alla raccolta di immagini
Le linee guida n. 03/2026 stabiliscono che qualsiasi immagine o suono catturato da sistemi di videosorveglianza costituisce dato personale se consente l’identificazione diretta o indiretta di una persona. L’installazione delle telecamere deve rispettare i diritti fondamentali e trovare giustificazione in una base giuridica valida o in un legittimo interesse debitamente bilanciato. In genere il consenso preventivo non è ottenibile per le riprese pubbliche, mentre è vietato l’uso in luoghi ad uso esclusivamente privato come bagni o spogliatoi.
Obblighi operativi e conservazione
I titolari devono mettere in atto misure tecniche e organizzative quali la limitazione degli accessi, la documentazione di ogni visualizzazione e la formazione del personale. I dati devono essere conservati per il minor tempo necessario: la regola pratica fissa la conservazione a 72 ore, estendibile fino a 30 giorni solo in assenza di sorveglianza continua o in casi specifici. Per installazioni condominiali serve l’approvazione di almeno il 75% dei residenti, e gli interessati mantengono il diritto di accesso, opposizione e cancellazione, con tutele per i diritti di terzi (ad esempio oscuramento delle immagini).
Marketing diretto, call center e dati particolari
Le linee guida n. 04/2026 definiscono il marketing diretto come la comunicazione verso persone identificabili per promuovere beni o servizi, includendo i servizi svolti dai call center per conto terzi. I titolari possono basare il trattamento sul legittimo interesse solo a fronte di un bilanciamento favorevole; in caso contrario è necessario il consenso dell’interessato. Per i dati particolari (salute, opinioni politiche, orientamento religioso, ecc.) è richiesto il consenso esplicito, salvo divieti normativi specifici.
Acquisizione da liste terze e profiling
Se i dati provengono da liste di terzi, il titolare deve informare gli interessati sull’identità del titolare, la base giuridica, eventuali trasferimenti e i diritti di opposizione. Il trattamento di profili personalizzati basati su dati sensibili richiede sempre garanzie elevate e, di norma, il consenso esplicito.
Dati sanitari, autorità pubbliche e media
Le linee guida n. 02/2026 qualificano i dati sanitari come categorie particolari e ne circoscrivono il trattamento a finalità tassative: prevenzione, diagnosi, cura, gestione dei servizi sanitari, tutela della salute pubblica, interessi vitali o obblighi di lavoro e protezione sociale. Le strutture devono nominare un data protection officer, mantenere registri e assicurare la cancellazione o l’anonimizzazione quando le finalità cessano. Particolare cautela va riservata ai dati genetici e ai minori.
Le linee guida n. 05/2026 impongono al settore pubblico e alle forze di sicurezza principi di minimizzazione, limitazione delle finalità e registri di trattamento, con accessi limitati e controlli rafforzati per le categorie particolari. Infine, le linee guida n. 07/2026 disciplinano il trattamento per fini giornalistici, bilanciando diritto di cronaca e diritti degli interessati, con tutele rafforzate per minori e soggetti coinvolti in indagini e un’applicazione del diritto all’oblio ponderata su rilevanza e ruolo pubblico.
Per le imprese la raccomandazione pratica è chiara: aggiornare policy e contratti, nominare figure interne responsabili, verificare i trasferimenti internazionali e monitorare l’evoluzione delle linee guida albanesi. La finestra transitoria fino a gennaio 2027 offre tempo per adeguare i processi, ma la maggiore attività dell’Autorità nazionale richiede un approccio proattivo alla compliance.