Negli ultimi anni l’Albania ha accelerato il percorso di allineamento alle norme dell’Unione europea in materia di protezione dei dati personali. Il passo decisivo è stata l’adozione della Legge n. 124/2024, che abroga la precedente legge del 2008 e dichiara espressamente la piena armonizzazione con il GDPR e la direttiva 2016/680. La legge è entrata in vigore nel febbraio 2025 e si applica a tutti i Titolari e Responsabili del trattamento stabiliti in Albania, a prescindere dal luogo in cui avvengono le operazioni concernenti i dati personali.
Indice degli argomenti
Come cambia la privacy in Albania con la nuova legge
Il nuovo quadro normativo impone a titolari e responsabili obblighi analoghi a quelli europei: valutazioni d’impatto, registri delle attività di trattamento, misure tecniche e organizzative adeguate, notifica delle violazioni e collaborazione con l’autorità garante. Le sanzioni sono state potenziate; per le violazioni più gravi possono arrivare a 2 miliardi di lek (circa 17 milioni di euro) o al 4 % del fatturato mondiale annuo. L’articolo 94 della legge rimanda alla futura emanazione di linee guida sulla determinazione delle sanzioni e concede alle imprese due anni per adeguarsi completamente, con scadenza nel gennaio 2027.
Si tratta di un approccio che, se da un lato potrebbe comportare qualche incertezza in merito all’applicazione della norma di riferimento – è evidente infatti che rimangono obbligatorie, in assenza di una dichiarazione di adeguatezza da parte della Commissione Europea, tutte le attività inerenti ai trasferimenti extra-UE – dall’altro fornisce uno strumento speculare a quanto già predisposto da qualsiasi impresa italiana che rispetti le attività di compliance privacy.
Impatti operativi per imprese e operatori esteri
L’introduzione di una norma ad hoc, anche se parallela al Regolamento Europeo 679/2016, risulta impattante soprattutto rispetto alle evoluzioni future, ossia alla presenza di un’Autorità locale ultimamente molto più proattiva nelle attività di controllo e pareristica. La conseguenza principale, per le attività di business locate o dedicate all’Albania, dovranno quindi tenere conto delle differenti sfumature interpretative e regolamentari adottate dal Garante nazionale. Di seguito, un breve excursus dedicato ad alcuni degli interventi più recenti adottati all’interno della nuova infrastruttura di compliance privacy albanese.
Ciò significa che un call-center albanese che presta servizi per aziende italiane resta soggetto alla disciplina albanese anche se tutte le persone interessate si trovano in Italia. La legge riconosce ai soggetti gli stessi diritti previsti dal GDPR ma prevede che il termine di risposta possa essere esteso da 30 a 60 giorni quando le richieste sono numerose o complesse.
La privacy in Albania nelle regole sulla videosorveglianza
Videosorveglianza (linee guida n. 03/2025)
In maniera analoga a quanto visto con molte altre Autorità europee, le linee guida in analisi stabiliscono che qualsiasi immagine o suono captato da un sistema di videosorveglianza rappresenta dato personale quando consente di identificare direttamente o indirettamente una persona. L’installazione delle telecamere deve rispettare i diritti fondamentali e può essere giustificata solo da basi legali o da un legittimo interesse; nella maggior parte dei casi non è possibile raccogliere il consenso preventivo delle persone riprese. L’uso di videocamere è vietato in spazi ad uso esclusivamente privato (bagni, spogliatoi, ecc.).
Presente anche l’obbligo, per il Titolare, di adottare misure tecniche e organizzative: limitare l’accesso alle immagini, documentare ogni visione e formare il personale. I dati devono essere conservati per il minor tempo possibile: di regola 72 ore, estendibili fino a 30 giorni solo in assenza di sorveglianza continua o in casi specifici. Nei condomini, l’installazione è consentita solo con l’approvazione di almeno il 75 % dei residenti. I soggetti devono essere informati della presenza delle telecamere e possono esercitare i diritti di accesso, opposizione e cancellazione; in caso di richiesta di visione devono essere tutelati i diritti di terzi, ad esempio oscurando le immagini.
Non vengono menzionate, all’interno del testo, regole particolari per quanto concerne la videosorveglianza all’interno dei luoghi di lavoro, per i quali rimane sempre fortemente consigliabile valutare la compatibilità dell’utilizzo delle telecamere con la normativa giuslavoristica di riferimento.
Marketing diretto e servizi di contatto commerciale
Marketing diretto e call center (linee guida n. 04/2025)
Tali linee guida definiscono il marketing diretto come la comunicazione con persone identificabili allo scopo di promuovere beni o servizi. L’ambito di applicazione include anche i call center che contattano i clienti per conto di terzi. I titolari e responsabili devono rispettare tutti gli obblighi previsti dalla legge e possono raccogliere dati per finalità di marketing solo se ciò è necessario per perseguire un interesse legittimo, salvo che tale interesse non prevalga sul diritto alla protezione dei dati; in tal caso è necessario il consenso dell’interessato.
Nel caso di dati particolari (ad esempio salute, orientamento politico o opinioni religiose), il titolare deve dimostrare che l’interessato ha prestato un consenso esplicito, salvo i casi in cui la legge vieta la loro raccolta anche con consenso. Le stesse condizioni valgono per il trattamento di profili basati su dati particolari o penali, destinati a inviare messaggi personalizzati. Se i dati vengono acquisiti da liste di terzi, è necessario informare l’interessato dell’identità del titolare, della base giuridica, dell’eventuale trasferimento a terzi e dei diritti di opposizione. In tutti gli altri casi, la raccolta di dati per marketing diretto richiede il consenso.
La privacy in Albania nel trattamento dei dati sanitari
Dati sanitari (linee guida n. 02/2025)
Le linee guida sui dati sanitari ribadiscono che le informazioni relative alla salute sono dati particolari e che il loro trattamento deve garantire il rispetto dei diritti fondamentali. Conseguenza principale di queste istruzioni è la loro applicazione a tutti gli operatori pubblici e privati del settore sanitario (in qualità di Titolari), ai soggetti che ne controllano l’operato e ai relativi Responsabili del trattamento. È ammesso trattare dati sanitari solo nei casi tassativamente previsti: per fini preventivi, diagnostici, di cura o gestione dei servizi sanitari; per proteggere la salute pubblica; per salvaguardare gli interessi vitali del soggetto o per adempiere obblighi in materia di lavoro e protezione sociale. Sono inoltre consentiti i trattamenti per finalità di archiviazione nel pubblico interesse, ricerca storica o statistica, purché siano rispettati i principi di proporzionalità e siano previste garanzie adeguate.
Le strutture sanitarie devono nominare un responsabile della protezione dei dati, predisporre registri delle operazioni e assicurare la cancellazione o l’anonimizzazione dei dati non appena vengano meno le finalità sopra elencate. Particolare attenzione deve essere riservata ai dati genetici e ai dati relativi ai minori, i cui rappresentanti legali devono fornire il consenso.
Regole per autorità pubbliche e forze di sicurezza
Settore pubblico e sicurezza (linee guida n. 05/2025)
Le linee guida in parola sono di particolare rilevanza, considerando che uno dei parametri principali della valutazione di adeguatezza di un Paese extra-UE è proprio quello relativo alle capacità di controllo e di ingerenza delle forze di sicurezza (intese in senso lato come autorità dotate di potere esecutivo e giudiziario) sui dati personali.
Il testo impone a tali istituzioni di nominare un Data Protection Officer, applicare rigorosamente i principi di liceità, limitazione delle finalità, minimizzazione, accuratezza e accountability, nonché di mantenere registri delle operazioni e valutazioni dei rischi, soprattutto quando si utilizzano tecnologie invasive. L’accesso ai dati deve essere limitato al minimo indispensabile per le finalità perseguite e ogni condivisione deve seguire protocolli chiari e sicuri.
Il trattamento di categorie particolari (origine etnica, opinioni politiche, dati biometrici, ecc.) richiede controlli a doppia chiave con separazione fisica.
La privacy in Albania tra libertà di espressione e media
Libertà di espressione e media (linee guida n. 07/2025)
Queste ultime linee guida stabiliscono un regime particolare per le attività giornalistiche, considerate un trattamento per “finalità speciali”, il quale comunque deve emergere, al netto del diritto di cronaca, come necessario, proporzionato e rispettoso dell’essenza del diritto alla protezione dei dati.
Sono previste norme più severe per le categorie a rischio: priorità assoluta all’interesse superiore del minore, restrizioni sull’identificazione di indagati o arrestati e sulla pubblicazione di dati sanitari. Viene infine menzionato il diritto all’oblio in ambito mediatico, imponendo alle redazioni di valutare le richieste di cancellazione, anonimizzazione o de-indicizzazione in base alla rilevanza attuale, al tempo trascorso e al ruolo pubblico della persona. I media sono trattati (giustamente) come Titolari del trattamento e il campo di applicazione si estende a piattaforme online e produttori di contenuti audiovisivi.
