La Germania emana la nuova legge sulla protezione dei dati

Scenario
Lo scorso 27 aprile 2017, il Parlamento Federale Tedesco ha adottato la nuova legge federale sulla privacy (Bundesdatenschutzgesetz, di seguito “nuovo BDSG”). La legge, approvata dal Consiglio Federale Tedesco il 12 maggio, è stata pubblicata nella Gazzetta Ufficiale Federale Tedesca il 5 luglio 2017 ed entrerà in vigore il 25 maggio 2018, esattamente nello stesso giorno di entrata in vigore del Regolamento Generale per la Protezione dei dati personali (di seguito, “RGPD”). Infatti, il nuovo BDSG, che sostituirà la legge sulla privacy del 2003, è stato emanato proprio allo scopo di adeguare la legge alle disposizioni del RGPD.

Questione principale
Sebbene uno degli scopi principali del RGPD fosse quello di armonizzare le normative europee sulla protezione dei dati personali, tuttavia in svariati ambiti la norma, mediante l’utilizzo delle cd. “clausole di apertura”, lascia la possibilità agli Stati membri di introdurre proprie leggi nazionali a protezione dei dati personali, al fine di specificare maggiormente l’applicazione del RGPD. Se da un lato, il legislatore tedesco ha senz’altro il merito di essere stato tra i primi Stati Membri ad implementare disposizioni normative che integrino il RGPD; dall’altra, va sottolineato che il nuovo BDSG è stato oggetto di non poche critiche. Infatti, sia l’Autorità tedesca a protezione dei dati personali che il Ministro Federale della Giustizia, hanno espresso le loro preoccupazioni, dal momento che il nuovo BDSG sembrerebbe, in alcuni casi, eccedere lo scopo perseguito dal RGPD.
Di seguito sono sintetizzati alcuni degli elementi distintivi del nuovo BDSG.
¬ Trattamento dei dati personali nell’ambito del rapporto di lavoro (Articolo 26). Il nuovo BDSG conferma sostanzialmente le regole previste dalla precedente legge tedesca sulla privacy.
o I dati personali dei dipendenti possono essere trattati al fine di instaurare, proseguire o terminare un rapporto di lavoro, o al fine di esercitare diritti ed adempiere ad obbligazioni derivanti da legge, accordi sindacali o accordi con i comitati aziendali;
o Il consenso deve essere rilasciato per iscritto, a meno che una forma diversa non trovi giustificazione nelle circostanze del caso;
o La natura volontaria del consenso è determinata tenendo in considerazione la dipendenza all’interno del rapporto di lavoro e le circostanze del consenso (es. nel caso in cui il dipendente ottenga un vantaggio dal conferimento del consenso o qualora gli interessi delle parti siano simili);
o Il trattamento dei dati personali dei lavoratori, compresi i dati sensibili, può essere consentito dai contratti collettivi (purché le parti si conformino a quanto previsto dall’art. 88 del RGPD).
¬ Trattamento di dati sensibili. Il nuovo BDSG prevede come base legale del trattamento di dati sensibili:
o le finalità di ricerca storica e scientifica e le finalità statistiche;
o il trattamento di dati sensibili necessario per l’esercizio di diritti collegati con il diritto alla sicurezza e alla protezione sociale.
¬ Videosorveglianza. Il nuovo BDSG contiene specifiche regole riguardanti la videosorveglianza di aree pubbliche.
¬ Ampiamento dell’ambito di applicazione dell’obbligo di nominare un DPO (Art. 38). Qualsiasi impresa che impieghi più di 10 persone in attività che implichino il trattamento di dati personali deve nominare un DPO.
¬ Sanzioni ulteriori rispetto a quelle previste dal RGPD. Il nuovo BDSG include:
o sanzioni pecuniarie fino a 50,000 euro per violazioni in materia di credito ai consumatori;
o sanzioni penali che prevedono la reclusione fino a tre anni o pene pecuniarie in caso di determinate attività di trattamento illecito di dati personali.
¬ Restrizione di alcuni diritti degli interessati in favore di regole più business-friendly (Articoli da 32 a 35).
o Il diritto degli interessati di essere informati in caso di trattamento per finalità ulteriori di quelle per cui i dati sono stati raccolti (Art. 13 RGDP), può subire limitazioni qualora i dati siano archiviati in modo analogo, il trattamento per le finalità ulteriori sia compatibile con le finalità originarie e la comunicazione con l’interessato non avvenga digitalmente;
o L’obbligo del titolare di fornire informazioni sul trattamento può essere limitato in caso di obblighi di riservatezza (ad es., segreto professionale);
o I diritti di accesso ai dati degli interessati (Art. 15 GDPR) possono subire limitazioni qualora i dati personali siano conservati in conformità con i periodi di conservazione previsti dalla legge e qualora l’accesso comporti uno sforzo irragionevole per il titolare;
o Il diritto di richiedere la cancellazione ed il conseguente obbligo di cancellazione non si applicano qualora la cancellazione richieda uno sforzo irragionevolmente elevato per il titolare, in considerazione del particolare tipo di archiviazione (o conservazione?) dei dati.

Implicazioni pratiche
Le imprese che operano in Germania dovrebbero analizzare le disposizioni del nuovo BDSG ed accertarsi che le operazioni di trattamento dei dati personali da esse effettuate siano conformi alla nuova legge.

In considerazione della maggiore specificità del nuovo BDSG rispetto al RGPD e della non totale semplicità interpretativa del dettato normativo, è atteso l’intervento chiarificatore delle Autorità per la protezione dei dati personali, al fine di fornire linee guida circa l’interpretazione e applicazione della nuova norma.

Il nuovo BDSG entrerà in vigore il 25 maggio 2018.