LEGGE

NO. 9887, del 10.03.2008, modificato dalla Legge n. 48/2012, modificato dalla legge  n.120/2014

“PER LA PROTEZIONE DEI DATI PERSONALI”

A sostegno degli articoli 78 e 83 comma 1 della Costituzione, su proposta del Consiglio dei Ministri,

L’ASSEMBLEA DELLA REPUBBLICA D’ALBANIA HA DECISO:

ATTO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

Lo scopo di questa legge è determinare le regole per la protezione e il trattamento legale dei dati personali.

Articolo 2

Principio generale

Il trattamento legale dei dati personali avviene rispettando e garantendo i diritti e le libertà fondamentali dell’uomo e, in particolare, il diritto alla tutela della vita privata.

Articolo 3

Definizioni

In questa legge, i seguenti termini hanno i seguenti significati:

  1. “Dato personale” è qualsiasi informazione relativa a una persona fisica, identificata o identificabile, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale.
  1. Per “dato giudiziario” si intende qualsiasi dato relativo a decisioni in materia di processi penali, civili, amministrativi o documentazione nei registri delle sanzioni penali, civili, amministrative, ecc.
  1. Per “dato anonimo” si intende qualsiasi dato che, all’origine o durante l’elaborazione, non è associabile ad un soggetto identificato o identificabile.
  1. Per “dato sensibile” si intende qualsiasi informazione relativa alla persona fisica, relativa alla sua origine, razza o etnia, opinioni politiche, appartenenza sindacale, fede, fede religiosa o filosofica, condanne penali, nonché dati relativi alla salute e alla vita sessuale.
  1. “Titolare” è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e le modalità del trattamento dei dati personali, in conformità alle leggi e ai regolamenti del settore, e responsabile dell’adempimento degli obblighi previsti dalla presente legge.
  1. “Interessato dei dati personali” è qualsiasi persona fisica i cui dati personali sono trattati.
  1. “Responsabile” è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o qualsiasi altro organismo che tratta dati personali per conto del responsabile del trattamento.
  1. “Sistema di archivio” è qualsiasi insieme strutturato di dati personali, accessibili in base a determinati criteri, centralizzato, decentrato o distribuito su base funzionale o geografica.
  1. Gli “strumenti di trattamento” sono strumenti automatici, semiautomatici e meccanici che trattano dati personali.
  1. Per “strumenti elettronici” si intendono i computer, i programmi per elaboratori e qualsiasi mezzo, elettronico o automatizzato, con cui avviene il trattamento.
  1. “Marketing diretto” è la comunicazione con qualsiasi mezzo e modalità di materiale pubblicitario, utilizzando i dati personali di persone fisiche o giuridiche, agenzie o altre unità, con o senza mediazione.
  1. “Trattamento di dati personali” è qualsiasi azione o gruppo di azioni, che vengono eseguite su dati personali, con mezzi automatici o meno, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la trasmissione, la distribuzione o altrimenti mettere a disposizione, estendere o combinare, fotografare, rispecchiare, scartare, completare, selezionare, bloccare, annientare o distruggere, anche se non sono registrati in un database.
  1. “Destinatario” è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o qualsiasi altro organismo a cui vengono forniti o meno i dati di una terza parte. Le autorità, che possono ricevere dati nel contesto di una particolare indagine, non sono considerate destinatari.
  1. “Incaricato” è la persona che effettua il trattamento dei dati, previa autorizzazione del titolare o del responsabile.
  1. “Terza parte” è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o qualsiasi altro organismo, ad eccezione dell’interessato, del titolare del trattamento, del responsabile del trattamento e delle persone che, sotto l’autorità diretta del titolare del trattamento o del responsabile del trattamento, sono autorizzate a trattare i dati.
  1. “Trasmissione” è il trasferimento di dati personali al destinatario.
  1. “Controllo” è l’attento monitoraggio del trattamento dei dati personali da parte di tutti i titolari e responsabili del trattamento, attraverso la cooperazione, il controllo, l’indagine amministrativa e l’ispezione, per la prevenzione delle violazioni e, ove opportuno, anche l’irrogazione di sanzioni amministrative per garantire l’attuazione di ordini, istruzioni e raccomandazioni del Commissario, nel rispetto dei diritti umani e delle libertà fondamentali.
  1. “Monitoraggio dei dati personali” è il lavoro continuo, completo, efficiente e pianificato dell’ente nelle seguenti direzioni: leadership, direzione, organizzazione, assistenza, cooperazione, incontri di sensibilizzazione e riconoscimento, orientamento, rendicontazione all’Assemblea, pubblicazione, spiegazioni varie , fornendo risposte a reclami, attività, seminari e conferenze, attività, documentazione, redazione di norme, accordi, contratti, istruzioni, decisioni, raccomandazioni, controllo dell’attuazione delle sanzioni, creazione e apertura di registri, nonché per altre questioni relative al regolare esercizio dell’attività.
  1. “Comunicazione” è la comunicazione di dati personali a uno o più soggetti determinati, diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dai responsabili e dagli incaricati, in qualsiasi forma, anche mediante la loro messa a disposizione o per consultazione.
  1. Per “divulgazione” si intende la comunicazione di informazioni su dati personali a soggetti indeterminati, in qualsiasi forma, anche mediante messa a disposizione o consultazione.
  1. “Blocco” è la conservazione dei dati personali sospendendo temporaneamente ogni ulteriore operazione di trattamento.
  1. “Trasferimento internazionale” è la fornitura di dati personali a destinatari in paesi stranieri.
  1. Il “processo decisionale automatizzato” è un tipo di valutazione per gli individui, eseguita in modo completamente automatico, senza l’intervento dell’individuo.
  1. Per “consenso dell’interessato” si intende qualsiasi dichiarazione scritta, espressamente prestata con piena e libera volontà e nella piena consapevolezza del motivo per cui i dati saranno trattati, il che implica che l’interessato acconsenta al trattamento dei suoi dati.
  1. Per “finalità storica” ​​si intendono le finalità di studi, ricerche, ricerche e documentazioni di figure, fatti e circostanze del passato.
  1. Per “finalità statistica” si intende la finalità di ricerca statistica, produzione di dati statistici anche attraverso il sistema informativo statistico.
  1. “Obiettivo scientifico” è l’obiettivo per studi e ricerche sistematiche, che finalizza lo sviluppo della conoscenza scientifica in un determinato settore.
  1. “Diritto all’informazione” ha il significato definito nella legge sul diritto all’informazione.
  1. “Programmi di trasparenza” ha il significato definito nella legge sul diritto all’informazione.

Articolo 4

Ambito di applicazione

  1. Questa legge si applica al trattamento di dati personali, in tutto o in parte, effettuato con mezzi automatizzati, nonché al trattamento con altri mezzi di dati personali, che sono conservati in un archivio o sono destinati a farne parte .
  1. Questa legge si applica al trattamento dei dati personali da parte di: a) responsabili del trattamento situati nella Repubblica d’Albania;
  1. b) rappresentanze diplomatiche o uffici consolari dello Stato albanese;
  1. c) responsabili del trattamento, che non si trovano nella Repubblica d’Albania, ma che esercitano la loro attività mediante l’utilizzo di qualsiasi mezzo situato nella Repubblica d’Albania.
  1. Nei casi previsti dalla lettera “c” del punto 2 del presente articolo, il titolare del trattamento nomina un rappresentante, che deve essere domiciliato nella Repubblica d’Albania. Le disposizioni della presente legge, applicate dai titolari, si applicano anche ai loro rappresentanti.

3/1. Questa legge si applica anche alle autorità ufficiali che trattano dati personali nei campi previsti al punto 2, articolo 6, di questa legge .

  1. Questa legge non si applica al trattamento dei dati:
  1. per persone fisiche, per scopi prettamente familiari o personali;
  1. solo per i casi in cui vengono fornite informazioni su pubblici ufficiali o dipendenti della pubblica amministrazione (statale), attraverso le quali si riflettono attività pubbliche, amministrative o questioni relative alle loro funzioni.

CROCE II

TRATTAMENTO DEI DATI PERSONALI

Articolo 5

Protezione dei dati personali

  1. La protezione dei dati personali si basa su:
  1. nel trattamento in modo corretto e lecito;
  1. nella raccolta per scopi determinati, chiaramente definiti, legittimi e nel trattamento in conformità a tali scopi;
  1. nella sufficienza dei dati, che devono essere correlati alla finalità del trattamento e non eccedere tale finalità;

ç) nell’esattezza che i dati devono avere e, quando necessario, devono essere aggiornati; deve essere adottata ogni misura ragionevole per cancellare o rettificare i dati inesatti o incompleti, rispetto allo scopo per il quale sono stati raccolti o per il quale sono ulteriormente trattati;

  1. conservando tale forma, che consenta l’identificazione degli interessati per un tempo, ma non superiore a quello necessario agli scopi per i quali sono raccolti o successivamente trattati.
  1. Il responsabile del trattamento è responsabile dell’attuazione di tali requisiti in tutti i trattamenti automatici o di altro tipo.

Articolo 6

Criteri legali per il trattamento

  1. I dati personali sono trattati esclusivamente:
  1. se l’interessato ha espresso il consenso;
  1. se il trattamento è essenziale per l’adempimento di un contratto, di cui l’interessato è parte contraente, o per discussioni o modifiche di un progetto/contratto su proposta dell’interessato;
  1. tutelare gli interessi vitali dell’interessato;

ç) per l’adempimento di un obbligo legale del titolare del trattamento;

  1. d) per l’esecuzione di un obbligo legale di interesse pubblico o l’esercizio di una competenza del titolare o di un terzo cui i dati sono stati comunicati; dh) se è indispensabile per la tutela dei diritti e degli interessi legittimi del titolare, del destinatario o di altri interessati. Ma, in ogni caso, il trattamento dei dati personali non può essere in aperto contrasto con il diritto dell’interessato alla tutela della vita personale e privata.
  1. Il trattamento dei dati personali, determinato nell’ambito delle attività di prevenzione e repressione penale, per la commissione di un reato contro l’ordine pubblico e di altri reati in materia penale, nonché in materia di difesa e sicurezza dello Stato, è effettuati dalle autorità ufficiali definite dalla legge.
  1. Il titolare o il responsabile del trattamento, che si occupa del trattamento dei dati personali, al fine di fornire opportunità commerciali o servizi, può utilizzare a tale scopo i dati personali ottenuti dall’elenco dei dati pubblici. Il titolare del trattamento o il responsabile del trattamento non possono continuare l’ulteriore trattamento dei dati di cui al presente paragrafo, se l’interessato ha espresso disaccordo o si è opposto al loro ulteriore trattamento. Nessun dato personale aggiuntivo può essere collegato ai dati sopra specificati senza il consenso dell’interessato.
  1. Al titolare del trattamento è consentito conservare i dati personali nel proprio sistema di archiviazione anche dopo che l’interessato si sia opposto al trattamento, ai sensi del punto 3 del presente articolo. Questi dati possono essere riutilizzati solo se il soggetto dei dati personali dà il consenso.
  1. La raccolta di dati personali, che sono univocamente collegati a un interessato, per motivi di marketing diretto, è consentita solo se l’interessato ha dato il consenso esplicito.

Articolo 7

Trattamento dei dati sensibili

  1. Ad eccezione dei casi previsti dai punti 2 e 3 del presente articolo, è vietato il trattamento di dati che rivelino l’origine razziale o etnica, le opinioni politiche, l’appartenenza a sindacati.

credo religioso o filosofico, condanne penali, nonché salute e vita sessuale.

  1. Il trattamento dei dati sensibili è effettuato solo se:
  1. l’interessato ha prestato il consenso, che può essere revocato in qualsiasi momento e rende illegale l’ulteriore trattamento dei dati;
  1. è nell’interesse vitale dell’interessato o di un’altra persona e l’interessato è fisicamente o mentalmente incapace di prestare il proprio consenso;
  1. è autorizzato dall’autorità responsabile di un rilevante interesse pubblico, con adeguate garanzie;

ç) è relativo a dati che sono stati resi pubblici apertamente dall’interessato o è necessario per l’esercizio o la tutela di un diritto legale;

  1. i dati sono trattati per scopi storici, scientifici o statistici, con adeguate misure di protezione;
  1. dh) i dati sono necessari per finalità di medicina preventiva, diagnosi medica, prestazione sanitaria, cura, gestione dei servizi sanitari e il loro utilizzo è effettuato da personale medico o da altri soggetti, che hanno l’obbligo della riservatezza;
  1. i dati sono trattati da organizzazioni politiche, filosofiche, religiose o sindacali senza scopo di lucro, ai fini della loro attività legale, solo per membri, sponsor o altre persone correlate alla loro attività. Tali dati non sono comunicati a terzi, senza il consenso dell’interessato, salvo diversa disposizione di legge;

ë) il trattamento è necessario per l’adempimento dell’obbligo legale e dei diritti specifici del titolare del trattamento in materia di lavoro, ai sensi del codice del lavoro.

Articolo 8

Trasferimento internazionale

  1. Il trasferimento internazionale di dati personali è effettuato, con destinatari, da paesi con un livello sufficiente di protezione dei dati personali. Il livello di protezione dei dati personali per un paese è determinato valutando tutte le circostanze relative al trattamento, la sua natura, finalità e durata, il paese di origine e di destinazione finale, gli atti giuridici e gli standard di sicurezza in vigore nel paese ricevente. Gli Stati, che hanno un livello sufficiente di protezione dei dati, sono determinati dalla decisione del Commissario.
  1. Il trasferimento internazionale di dati personali con un paese che non dispone di un livello sufficiente di protezione dei dati personali può avvenire se:
  1. a) è autorizzata da atti internazionali, ratificati dalla Repubblica d’Albania e direttamente applicabili;
  1. b) l’interessato ha prestato il consenso al trasferimento internazionale;
  1. c) il trasferimento è necessario per l’esecuzione del contratto tra l’interessato e il titolare o per l’esecuzione di misure precontrattuali, adottate in risposta alla richiesta di

all’interessato, o il trasferimento è necessario per l’adempimento o l’esecuzione di un contratto tra il titolare del trattamento e un terzo, nell’interesse dell’interessato; d) è necessario per la tutela degli interessi vitali dell’interessato;

  1. dh) è necessario o costituisce un requisito legale per un rilevante interesse pubblico o per l’esercizio e la tutela di un diritto legale;
  1. è costituito da un registro, aperto alla consultazione e di informazione al pubblico.
  1. Lo scambio di dati personali con rappresentanze diplomatiche di governi stranieri o istituzioni internazionali nella Repubblica d’Albania è considerato un trasferimento internazionale.

Articolo 9

Trasferimento dati internazionale che deve essere autorizzato

  1. Il trasferimento internazionale di dati personali con un paese che non dispone di un livello sufficiente di protezione dei dati, nei casi diversi da quelli previsti dall’articolo 8 della presente legge, è effettuato con l’autorizzazione del commissario quando è presentata una sicurezza sufficiente in relazione a tutela della vita privata e dei diritti umani e delle libertà fondamentali, nonché in relazione all’esercizio del relativo diritto.
  1. Il commissario, valutata secondo quanto previsto dal comma 1 del presente articolo e dal comma 1 dell’articolo 8, può concedere l’autorizzazione al trasferimento dei dati personali nello Stato ricevente, determinandone condizioni e obblighi.
  1. Il Commissario emana linee guida per consentire determinate categorie di trasferimenti internazionali di dati personali verso un paese che non dispone di un livello adeguato di protezione dei dati personali. In questi casi, il titolare è esentato dall’obbligo di autorizzazione.
  1. Il titolare, prima di conferire i dati, richiede l’autorizzazione al commissario. Nella richiesta, il titolare del trattamento deve garantire il rispetto dell’interesse a preservare la segretezza dell’interessato al di fuori della Repubblica d’Albania.

EQUIPAGGIO III

TRATTAMENTO DATI PARTICOLARI

Articolo 10

Elaborazione per finalità storiche, scientifiche e statistiche

  1. I dati personali, raccolti per qualsiasi scopo, possono essere ulteriormente trattati per scopi storici, scientifici o statistici, a condizione che non siano trattati per adottare misure o decisioni su un individuo.
  1. La trasmissione di dati sensibili per la ricerca scientifica avviene solo quando sussiste un interesse pubblico rilevante. I dati personali vengono utilizzati solo da soggetti obbligati alla riservatezza.
  1. Nei casi in cui i dati sono utilizzati in una forma che consenta l’identificazione dell’interessato, i dati devono essere crittografati immediatamente, in modo che gli interessati non siano più identificabili. I dati personali crittografati vengono utilizzati solo da persone obbligate a mantenere la riservatezza.

Articolo 11

Trattamento dei dati personali e libertà di espressione

  1. Il commissario determina con apposita istruzione le condizioni ei criteri in cui, per fini giornalistici, letterari e artistici, si possono derogare agli obblighi derivanti dagli articoli 5, 6, 7, 8, 18 e 21 della presente legge.
  1. Eccezioni, secondo tale articolo, possono essere ammesse nella misura in cui concilino il diritto alla protezione dei dati personali con le norme che disciplinano la libertà di informazione.
  1. Costituiscono illeciti amministrativi le azioni del titolare o del responsabile contrarie ai punti precedenti e al codice deontologico.

CAPITOLO IV

DIRITTI DELL’INTERESSATO

Articolo 12

Diritto di accesso

  1. Ogni persona ha il diritto di ottenere dal titolare, a titolo gratuito, previa richiesta scritta: a) la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, le indicazioni sulle finalità del trattamento, sulle categorie di dati trattati e sulla destinatari e categorie di destinatari a cui i dati personali sono comunicati;
  1. b) in forma comprensibile, i dati personali e le informazioni disponibili sulla loro fonte;
  1. c) nei casi di decisioni automatiche, ai sensi dell’articolo 14 della presente legge, informazioni sulla logica implicita nel processo decisionale.

Le informazioni sui dati sono comunicate nella forma in cui erano al momento della richiesta.

  1. Il titolare, entro 30 giorni dalla data di ricevimento della richiesta, informa l’interessato o gli illustra i motivi del mancato conferimento.
  1. Il diritto di accesso, ai sensi del comma 1 del presente articolo, si esercita nel rispetto dei principi costituzionali della libertà di espressione e di informazione, della libertà di stampa e del segreto professionale e può essere limitato, qualora violi gli interessi della sicurezza nazionale, straniera politica, interessi economici e finanza dello Stato, prevenzione e repressione dei reati.
  1. Il diritto di accesso non può essere esercitato nei casi previsti dal punto 1 dell’articolo 10 della presente legge.
  1. In caso di negato accesso, adducendo violazione dell’interesse della sicurezza nazionale, della politica estera, degli interessi economici e finanziari dello Stato, della prevenzione e del perseguimento di reati o della libertà di espressione e di informazione o della libertà di stampa, l’interessato può chiedere al commissario di verificare l’esenzione nel caso specifico. Il garante informa l’interessato dei provvedimenti adottati.

Articolo 13

Il diritto di richiedere il blocco, la rettifica o la cancellazione

  1. Ogni interessato ha il diritto di chiedere gratuitamente il blocco, la rettifica o la cancellazione dei dati, quando venga a conoscenza che i dati che lo riguardano non sono regolari, veritieri, completi o sono stati trattati e raccolti in violazione delle disposizioni di questa legge .
  1. Il titolare del trattamento, entro 30 giorni dalla data di ricezione della richiesta dell’interessato, deve informarlo del trattamento legale dei dati, dell’esecuzione o meno del blocco, della rettifica o della cancellazione.
  1. Quando il titolare del trattamento non blocca, rettifica o cancella i dati da lui richiesti, l’interessato ha il diritto di proporre reclamo al garante.

Articolo 14

Processo decisionale automatico

  1. Ogni persona ha il diritto di non essere sottoposta a decisioni che producano per lui effetti giuridici o che la incidano in modo significativo e quando la decisione si basa esclusivamente sul trattamento automatizzato dei dati, che mira a valutare alcuni aspetti personali, ad essa correlati, in particolare, l’efficacia del lavoro, l’affidabilità o la condotta.
  1. Una persona può essere oggetto di una decisione presa, ai sensi del punto 1 del presente articolo, quando la decisione: a) è stata presa durante la conclusione o l’esecuzione di un contratto, se la richiesta presentata dall’interessato per la conclusione o l’esecuzione di un contratto il contratto è rispettato, o se ci sono misure adeguate per proteggere i suoi interessi legittimi, come le opportunità che gli consentono di presentare le sue opinioni;
  1. b) è autorizzato da una legge, che preveda anche misure a tutela dei legittimi interessi dell’interessato.

Articolo 15

Diritto dell’interessato di opporsi

  1. L’interessato ha il diritto di opporsi, in qualsiasi momento, in base alla legge, al trattamento dei dati che lo riguardano, ai sensi delle lettere “d” e “dh” dell’articolo 6 della presente legge, salvo quanto diversamente disposto dalla legge.
  1. L’interessato ha il diritto di chiedere gratuitamente al titolare del trattamento di non iniziare o, se il trattamento è iniziato, di cessare il trattamento dei dati personali che lo riguardano per finalità di marketing diretto e di essere informato prima della diffusione dei dati personali per la prima volta per questo scopo.

Articolo 16

Il diritto di lamentarsi

  1. Chiunque pretenda che siano stati violati i propri diritti, libertà e interessi giuridici per i propri dati personali, ha il diritto di proporre reclamo o denuncia al commissario e chiedere il suo intervento per sostituire il diritto violato. Dopo tale ricorso, ai sensi del codice di procedura civile, l’interessato può presentare ricorso al tribunale.
  1. Nel caso in cui l’interessato abbia presentato ricorso, il responsabile del trattamento non ha il diritto di modificare i dati personali fino all’adozione della decisione finale.

Articolo 17

Risarcimento danni

Chiunque sia stato danneggiato a seguito del trattamento illecito di dati personali ha il diritto di chiedere il risarcimento al titolare del trattamento, secondo le norme previste dal codice civile.

CAPO V

OBBLIGHI DEL TITOLARE E DEL RESPONSABILE

Articolo 18

Obbligo di informare

  1. Il titolare del trattamento, al momento della raccolta dei dati personali, deve informare l’interessato circa l’ambito e la finalità per cui i dati personali saranno trattati, sulla persona che tratterà i dati, sulla modalità del trattamento, a meno che l’interessato non ne sia a conoscenza informazione. Il titolare del trattamento deve informare l’interessato del diritto di accesso, nonché del diritto di rettifica dei propri dati.
  1. Nel caso in cui il responsabile del trattamento tratti dati personali ottenuti dall’interessato, è tenuto a informare l’interessato se il conferimento dei dati personali è obbligatorio o facoltativo. Se l’interessato, sulla base di un atto legale o sub-legale, è obbligato a fornire dati personali per il trattamento, il titolare lo informa di questo fatto, nonché delle conseguenze del rifiuto di fornire dati personali.
  1. Il responsabile del trattamento non è obbligato a fornire informazioni e informare sui casi in cui i dati personali non sono stati ricevuti dall’interessato, se:
  1. a) tratta i dati personali esclusivamente per finalità storiche, statistiche e di ricerca scientifica e nel caso in cui fornire tali informazioni sia impossibile o richieda uno sforzo sproporzionato;
  1. b) è obbligato a effettuare il trattamento dei dati personali in base a una disposizione di legge; c) tratta dati resi pubblici;

ç) tratta dati personali, ottenuti con il consenso dell’interessato.

  1. Il titolare del trattamento, in occasione del trattamento dei dati personali, ai sensi della lettera “dh” del punto 1 dell’art
  • e la lettera “ç” del punto 2 dell’articolo 7, in relazione all’esercizio o alla tutela dei diritti legali, è tenuta ad informare l’interessato del trattamento dei suoi dati.
  1. L’obbligo di informazione, disciplinato dal presente articolo, può essere svolto dal responsabile del trattamento per conto del titolare del trattamento.

Articolo 19

Obbligo di rettifica o cancellazione

  1. Il responsabile del trattamento esegue il blocco, la rettifica o la cancellazione dei dati personali in proprio o su richiesta dell’interessato, quando rileva che sono irregolari, non veritieri, incompleti o sono stati trattati in violazione delle disposizioni di questa legge.
  1. Il titolare, entro 30 giorni dal ricevimento della richiesta dell’interessato, informa l’interessato dell’esecuzione o meno del blocco, della rettifica o della cancellazione.
  1. Il responsabile del trattamento informa il destinatario dei dati personali della correzione o della cancellazione dei dati personali, trasmessi prima della correzione o della cancellazione.

Articolo 20

Obblighi del responsabile del trattamento

  1. I titolari, per il trattamento dei dati personali, possono avvalersi di responsabili del trattamento che garantiscano l’uso legale e sicuro dei dati. Ciascun responsabile del trattamento dei dati personali ha i seguenti obblighi:
  1. trattare i dati solo in conformità con le istruzioni del responsabile del trattamento; non trasmetterli, se non su indicazione del titolare;
  1. adottare tutte le misure di sicurezza, previste dalla presente legge e impiegare operatori, che hanno l’obbligo di mantenere il segreto;
  1. creare, d’intesa con il titolare, le condizioni tecniche e organizzative necessarie per adempiere agli obblighi del titolare, per garantire i diritti degli interessati ai dati personali;

ç) consegnare al titolare, dopo l’espletamento del servizio di trattamento, tutti i risultati del trattamento e la documentazione contenente i dati ovvero conservarli o distruggerli su richiesta del titolare;

  1. a mettere a disposizione del titolare tutte le informazioni necessarie, per verificare il rispetto degli obblighi derivanti dalle precedenti lettere.
  1. Gli obblighi di cui al punto 1 sono definiti nel contratto scritto del titolare del trattamento con il responsabile del trattamento.

CREA TE STESSO

AVVISO

Articolo 21

Obbligo di notifica

  1. Ciascun titolare deve darne comunicazione al Garante per il trattamento dei dati personali, di cui è responsabile. La notifica deve essere effettuata prima che il titolare elabori i dati per la prima volta o quando sia richiesta la modifica dello stato della notifica del trattamento, ai sensi dell’articolo 22 della presente legge, precedentemente notificata.
  1. E’ esonerato dall’obbligo di comunicazione il trattamento dei dati personali, ai fini della tenuta di un registro che, in conformità alla legge o allo statuto, fornisce informazioni al pubblico in genere.
  1. Esclusi dall’obbligo di comunicazione i dati personali oggetto di trattamento, a fini di tutela delle istituzioni costituzionali, di interessi di sicurezza nazionale, di politica estera, di interessi economici o finanziari dello Stato, ovvero per la prevenzione e il perseguimento di reati.
  1. Altri casi, per i quali la notifica non è necessaria, sono determinati dalla decisione del Commissario.

Articolo 22

Contenuto dell’avviso

L’avviso deve contenere:

  1. a) nome e indirizzo del titolare del trattamento;
  1. la finalità del trattamento dei dati personali;
  1. categorie di interessati e categorie di dati personali; ç) destinatari e categorie di destinatari dei dati personali;
  1. la proposta di trasferimenti internazionali che il titolare intende effettuare; dh) una descrizione generale delle misure per la sicurezza dei dati personali.

Articolo 23

Procedura di revisione

Il commissario esamina tutte le notifiche e quando la notifica è insufficiente, ordina al titolare di completare il contenuto della notifica, determinando anche il termine.

Se il titolare del trattamento non completa il contenuto della notifica entro il termine specificato, la notifica è considerata incompleta.

Articolo 24

Controllo preliminare

  1. L’autorizzazione del commissario è richiesta per:
  1. a) al trattamento di dati sensibili, ai sensi della lettera “c” del punto 2 dell’articolo 7 della presente legge; b) trattamento di dati personali, ai sensi del punto 1 dell’articolo 9 della presente legge.
  1. Se il trattamento dei dati, ai sensi del punto 1 del presente articolo, è autorizzato da un provvedimento di legge, non è richiesta alcuna autorizzazione del garante.

Articolo 25

Avvia l’elaborazione

  1. Il trattamento dei dati inizia dopo la notifica.
  1. Il trattamento dei dati, per i quali è richiesta l’autorizzazione, ai sensi del punto 1 dell’articolo 24 della presente legge, può iniziare solo dopo aver ottenuto l’autorizzazione.

Articolo 26

Pubblicazione atti

  1. Per i dati che richiedono l’autorizzazione, viene presa una decisione separata e trova riscontro nel registro amministrato dal commissario, che è aperto al riconoscimento da parte di chiunque.
  1. L’iscrizione deve contenere le informazioni di cui all’articolo 22 della presente legge, ad eccezione delle informazioni definite nella lettera “dh” dell’articolo 22 della presente legge, che non sono pubblicate.
  1. Il titolare del trattamento esentato dall’obbligo di notifica deve mettere a disposizione almeno dati su nome e indirizzo, categorie di dati personali trattati, finalità del trattamento, categorie di destinatari.

In caso di trasferimento internazionale dei dati, il titolare del trattamento è tenuto a darne comunicazione al Commissario.

  1. Il presente articolo non si applica al trattamento per la tenuta di un registro che, a norma di legge o di statuto, fornisce informazioni al pubblico in genere.
  1. Il commissario decide sulla cancellazione del titolare del trattamento, in via prioritaria o su sua richiesta, se vengono a mancare lo scopo o gli scopi per i quali la notifica e la registrazione sono state effettuate.

CREU VII

SICUREZZA DEI DATI PERSONALI

Articolo 27

Misure per la sicurezza dei dati personali

  1. Il titolare o il responsabile del trattamento adotta adeguate misure organizzative e tecniche per proteggere i dati personali dalla distruzione illegale, accidentale, dalla perdita accidentale, per proteggere l’accesso o la diffusione da parte di persone non autorizzate, in particolare quando il trattamento dei dati avviene in rete, nonché da qualsiasi altra forma illecita di lavorazione.
  1. Il responsabile del trattamento adotta le seguenti misure di sicurezza speciali:
  1. definisce le funzioni tra unità organizzative e operatori per l’utilizzo dei dati;
  1. il trattamento dei dati avviene per ordine di unità organizzative o di operatori autorizzati;
  1. istruisce gli operatori, nessuno escluso, per gli obblighi che hanno, ai sensi della presente legge e del regolamento interno per la protezione dei dati, ivi compreso il regolamento per la sicurezza dei dati;

ç) vieta l’accesso ai locali del titolare o del responsabile del trattamento a persone non autorizzate;

  1. d) l’accesso ai dati e ai programmi è consentito solo alle persone autorizzate; dh) vieta l’accesso agli strumenti di archiviazione e il loro utilizzo da parte di persone non autorizzate;
  1. la messa in servizio delle apparecchiature informatiche avviene solo previa autorizzazione e ogni strumento è provvisto di misure preventive contro la messa in servizio autorizzata;

ë) registra e documenta modifiche, correzioni, cancellazioni, trasmissioni, ecc.

2/1. Il responsabile del trattamento è tenuto a documentare le misure tecniche e organizzative adattate e attuate per garantire la protezione dei dati personali, in conformità con la legge e altri regolamenti.

  1. I dati registrati non vengono utilizzati per scopi diversi, non compatibili con lo scopo della raccolta. Il riconoscimento o qualsiasi trattamento dei dati registrati nel file è vietato

per uno scopo diverso dal diritto di disporre dei dati. È escluso da questa regola il caso in cui i dati siano utilizzati per garantire la sicurezza nazionale, la sicurezza pubblica, la prevenzione e l’accertamento della commissione di un reato o il perseguimento dei suoi autori, o per violazioni della deontologia delle professioni regolamentate.

  1. La documentazione dei dati viene conservata per il tempo necessario allo scopo per il quale è stata raccolta.
  1. Il livello di sicurezza deve essere adeguato alla natura del trattamento dei dati personali. Norme dettagliate per la protezione dei dati sono determinate dalla decisione del commissario.
  1. Le modalità di gestione della registrazione dei dati, della disposizione, dell’elaborazione e dell’estrazione dei dati sono determinate con provvedimento del commissario.

Articolo 28

Riservatezza dei dati

Titolari, Responsabili e soggetti che vengono a conoscenza dei dati trattati, nell’esercizio delle loro funzioni, sono tenuti alla riservatezza e all’attendibilità anche dopo la cessazione della funzione. Tali dati non sono oggetto di diffusione, salvo nei casi previsti dalla legge.

Qualsiasi persona che agisca sotto l’autorità del responsabile del trattamento non deve trattare i dati personali a cui ha accesso senza l’autorizzazione del responsabile del trattamento, salvo nei casi previsti dalla legge.

CREO VIII

COMMISSARIO PER IL DIRITTO ALL’INFORMAZIONE E ALLA PROTEZIONE DEI DATI PERSONALI

Articolo 29

COMMISSARIO

  1. Il Garante per la protezione dei dati personali e il diritto all’informazione è l’autorità indipendente preposta che vigila e vigila, a norma di legge, sulla tutela dei dati personali, nel rispetto e nella garanzia dei diritti e delle libertà fondamentali della persona.
  1. Il commissario è una persona giuridica pubblica.
  1. Le informazioni fornite dal commissario, durante l’esercizio dell’incarico, sono utilizzate solo a fini di vigilanza, nel rispetto della normativa in materia di protezione dei dati personali. Il commissario è tenuto a mantenere la riservatezza dei dati anche dopo la cessazione dell’incarico.

Articolo 30

Diritti in materia di protezione dei dati personali

  1. Il commissario ha i seguenti diritti:
  1. conduce indagini amministrative e ha il diritto di accesso al trattamento dei dati personali, nonché il diritto di raccogliere tutte le informazioni necessarie per l’adempimento dei compiti di vigilanza;
  1. ordina il blocco, la cancellazione, la distruzione o la sospensione del trattamento illecito di dati personali;
  1. c) impartisce istruzioni prima dell’effettuazione del trattamento e ne cura la pubblicazione
  1. Il garante, in caso di gravi, reiterate o dolose violazioni di legge da parte di un titolare o incaricato, specie nei casi reiterati di mancata attuazione delle sue raccomandazioni, agisce ai sensi dell’articolo 39 della presente legge e denuncia o denuncia pubblicamente l’accaduto al Assemblea e in Consiglio dei Ministri.

2/1. Per i casi in cui la violazione costituisce reato, effettuare la relativa denuncia.

Articolo 31

Poteri in materia di protezione dei dati personali

  1. Il commissario ha il compito di:
  1. fornire pareri su progetti di atti, leggi e statuti, relativi a dati personali, nonché progetti che devono essere attuati dai titolari da soli o in collaborazione con altri;

a/1) formula raccomandazioni per l’attuazione degli obblighi previsti dalla legge sulla protezione dei dati personali e ne assicura la pubblicazione;

  1. concedere l’autorizzazione, in casi particolari, al trattamento dei dati personali per finalità non specificate nella loro raccolta, nel rispetto dei principi di cui all’articolo 5 della presente legge;
  1. concedere l’autorizzazione al trasferimento internazionale dei dati personali, ai sensi dell’articolo 9 della presente legge;

ç) impartire istruzioni, ove il tempo di conservazione dei dati personali sia determinato, in funzione della loro finalità, nell’attività di specifici settori;

  1. garantire il diritto all’informazione ed esercitare il diritto alla rettifica e all’aggiornamento dei dati;
  1. dh) il rilascio dell’autorizzazione al trattamento dei dati sensibili, ai sensi della lettera “c” del punto 2 dell’articolo 7 della presente legge;
  1. controllare il trattamento dei dati, in conformità alla legge, principalmente o su richiesta dell’interessato, anche quando tale trattamento è escluso dal diritto all’informazione e notificare all’interessato l’avvenuto controllo, nonché verificare se il il processo è legale o meno;

ë) risolvere i reclami dell’interessato per la tutela dei suoi diritti e libertà, per il trattamento dei dati personali e notificargli la risoluzione del reclamo presentato;

  1. impartire istruzioni per l’adozione di misure di sicurezza nell’attività di specifici settori;
  1. controllo dell’esecuzione delle multe;
  1. gj) incoraggiare il titolare a redigere codici etici e valutarli;
  1. pubblicazione e spiegazione dei diritti di protezione dei dati e pubblicazione periodica delle attività da lui sviluppate;
  1. collaborazione con le autorità di controllo dei dati personali di Paesi esteri, per la tutela dei diritti delle persone residenti in tali Paesi;
  1. rappresentare l’autorità di controllo in materia di protezione dei dati personali nelle attività nazionali e internazionali;
  1. l’esercizio di altri doveri legali.
  1. Il commissario istituisce un registro per la documentazione di tutte le notifiche e autorizzazioni, che svolge nell’esercizio dei suoi poteri, in materia di protezione dei dati personali.
  1. Il commissario presenta all’Assemblea una relazione annuale e riferisce ad essa ogniqualvolta ne sia richiesto. Inoltre, può chiedere all’Assemblea di essere ascoltato sulle questioni che ritiene importanti.

Articolo 31/1

Poteri in materia di tutela del diritto all’informazione

Oltre alle competenze previste dall’articolo 31, il Garante per il diritto all’informazione e alla protezione dei dati personali esercita anche i seguenti poteri in materia di diritto all’informazione:

  1. esamina le richieste delle persone che affermano che i loro diritti previsti dalla legge “Sul diritto all’informazione” sono stati violati;
  1. esamina i reclami delle persone in merito al funzionamento dei programmi di trasparenza nelle pubbliche amministrazioni;
  1. svolge le necessarie indagini amministrative nell’esercizio dei suoi poteri;

ç) è conosciuto e ha accesso alle informazioni e ai documenti, oggetto di ricorso, ai sensi della legge sul diritto all’informazione o relativi al caso in esame, ivi comprese le informazioni qualificate come “segreto di Stato”. In questi casi, è tenuto a rispettare i requisiti per la conservazione dei “segreti di Stato”, secondo la normativa vigente;

  1. irroga sanzioni amministrative secondo quanto previsto dalla legge sul diritto all’informazione;
  1. dh) promuove il principio della trasparenza nell’operato delle autorità pubbliche, in particolare attraverso la sensibilizzazione e l’informazione sui temi del diritto all’informazione;
  1. e) vigila sull’attuazione della legge sul diritto all’informazione;

ë) conduce sondaggi relativi a varie questioni relative al diritto all’informazione;

  1. formula raccomandazioni alle autorità pubbliche in merito all’ideazione e all’attuazione di programmi di trasparenza istituzionale;
  1. su richiesta del giudice adito, presenta un parere scritto su qualsiasi questione relativa al diritto all’informazione.

Articolo 32

L’obbligo di collaborazione

  1. Istituzioni pubbliche e private cooperano con il commissario, fornendogli tutte le informazioni necessarie per l’espletamento dei suoi compiti, nonché comunicandogli l’attuazione delle raccomandazioni impartite immediatamente dopo il termine fissato per la loro attuazione.
  1. Il Commissario ha accesso al sistema informatico, ai sistemi di archiviazione, che effettuano il trattamento dei dati personali ea tutta la documentazione relativa al loro trattamento e trasferimento, per l’esercizio dei diritti e dei doveri che gli sono attribuiti dalla legge.

Articolo 33

Elezione e mandato

Il commissario è eletto dall’Assemblea, su proposta del Consiglio dei ministri, per un quinquennio, con facoltà di rielezione.

Articolo 34

Incompatibilità di funzioni

La funzione del commissario è incompatibile con ogni altra funzione statale, con l’appartenenza a partiti politici e la partecipazione alle loro attività, nonché con ogni altra attività lucrativa, ad eccezione dell’insegnamento.

Articolo 35

Criteri da selezionare

Può essere eletto commissario un cittadino albanese che soddisfi le seguenti condizioni:

  1. ha un’istruzione legale superiore;
  1. ha conoscenze e attività eccezionali nel campo dei diritti umani e delle libertà fondamentali;
  1. distinguersi per professionalità e pulito carattere etico e morale;

ç) ha almeno 10 anni di esperienza nella professione forense;

  1. non è stato condannato con sentenza definitiva per aver commesso un reato; dh) non è stato licenziato dal lavoro o dal servizio civile per provvedimento disciplinare.

Articolo 36

Fine mandato

  1. Il mandato del commissario termina anzitempo quando:
  1. è punito dal tribunale con sentenza definitiva per aver commesso un reato;
  1. non si presenta in servizio senza motivo per più di 1 mese;
  1. dimettersi;

ç) è dichiarato incompetente con decisione definitiva del tribunale.

  1. Il commissario può essere revocato dall’Assemblea:
  1. per violazione delle disposizioni di questa legge o di altri atti legali;
  1. quando svolge attività che creino un conflitto di interessi;
  1. quando vengono rilevati casi di incompatibilità della sua funzione.
  1. Nel caso in cui la carica di commissario rimanga vacante, il Consiglio dei ministri, entro 15 giorni, propone all’Assemblea il nuovo candidato. L’Assemblea elegge il commissario entro 15 giorni dalla presentazione della candidatura.

Articolo 37

Ufficio del commissario

L’Assemblea determina la retribuzione del commissario, la struttura organizzativa e l’inquadramento salariale dei dipendenti dell’ufficio del commissario per il diritto all’informazione e alla protezione dei dati personali. I dipendenti di questo ufficio godono dello status di dipendenti pubblici.

Articolo 38

BILANCIO

Il commissario ha un proprio bilancio autonomo, che è finanziato dal Bilancio dello Stato e dai donatori, che non presentano conflitto di interessi. L’amministrazione di queste donazioni avviene secondo gli accordi con i donatori e la legislazione albanese in vigore.

Neni 38/a

Pubblicazione

  1. Istruzioni, decisioni del Commissario, ad eccezione di quelle impartite ai sensi della lettera

lettera b) dell’articolo 30 e dell’articolo 39 della presente legge, sono pubblicati nella Gazzetta Ufficiale.

  1. La relazione annuale e le relazioni speciali sono rese pubbliche.

CROCE IX

SANZIONI AMMINISTRATIVE

Articolo 39

Illeciti amministrativi

  1. I casi di trattamento dei dati in violazione delle disposizioni della presente legge, quando non costituiscono illecito penale, costituiscono illecito amministrativo e sono puniti con la sanzione pecuniaria, come segue: a) titolari del trattamento, che utilizzano dati personali in violazione del Capo II” Il trattamento dei dati personali” “, è punito da 10.000 a 500.000 ALL;

a/1) i titolari del trattamento, che utilizzano i dati personali in violazione del Capo III, “Trattamento di dati speciali”, sono puniti da 15.000 a 200.000 ALL;

  1. b) i titolari del trattamento che non adempiono all’obbligo di informazione, definito dall’articolo 18 della presente legge, sono puniti da 10.000 a 300.000 ALL;
  1. c) i titolari del trattamento, che non adempiono all’obbligo di rettifica o cancellazione dei dati, definito dall’articolo 19 della presente legge, sono puniti da 15.000 a 300.000 ALL;

ç) i titolari o gli incaricati del trattamento, che non ottemperano agli obblighi di cui all’articolo 20 della presente legge, sono puniti da 10.000 a 300.000 ALL;

  1. d) i titolari del trattamento, che non adempiono all’obbligo di comunicazione, secondo la definizione di cui all’articolo 21 della presente legge, sono puniti da 10.000 a 500.000 ALL;
  1. dh) i titolari o gli incaricati del trattamento, che non adottano le misure di sicurezza dei dati e non danno esecuzione all’obbligo di riservatezza, definiti rispettivamente dagli articoli 27 e 28 della presente legge, sono puniti con la sanzione da 10.000 a 150.000 ALL;

dh/1) i titolari e gli incaricati del trattamento, che agiscono in contrasto con il punto 2 dell’articolo 32 della presente legge, sono puniti da 100.000 a 1.000.000 ALL.

  1. Le persone giuridiche, per i reati di cui sopra, sono punite con il doppio della sanzione pecuniaria di cui al comma 1 del presente articolo.
  1. La sanzione massima è raddoppiata nel caso in cui si agisca in violazione del punto 2 dell’articolo 16 della presente legge e quando i dati siano trattati senza autorizzazione, ai sensi della lettera “b” del punto 1 dell’articolo 31 della presente legge.
  1. Le sanzioni pecuniarie sono comminate dal Commissario, quando si accerti che sono stati violati gli obblighi definiti dalla legge.

Articolo 40

rimostranza

La sanzione amministrativa pecuniaria può essere impugnata dinanzi al giudice nei termini e secondo le modalità che regolano il processo amministrativo.

Articolo 41

Esecuzione delle multe

  1. Le sanzioni sono pagate dal trasgressore entro e non oltre 30 giorni dalla loro comunicazione. Decorso tale termine, il dato provvedimento si trasforma in titolo esecutivo ed è eseguito inderogabilmente dall’ufficio dell’esecuzione, su richiesta del commissario.
  1. Le multe vengono riscosse nel Bilancio dello Stato.

KREU X

DISPOSIZIONI FINALI

Articolo 42

Statuto

Il Consiglio dei ministri ha il compito di emanare ordinanze in attuazione degli articoli 7, 8 e 21 della presente legge.

Articolo 43

abrogazione

La legge 22.7.1999 n.8517 “Sulla protezione dei dati personali” è abrogata.

Articolo 44

Entrata in vigore

La presente legge entra in vigore 15 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale.