Il 30 gennaio 2026, il Commissario per la Protezione dei Dati Personali ha emesso tre provvedimenti sanzionatori nei confronti di aziende tecnologiche in Albania. Per la prima volta dopo la Legge 124/2024, abbiamo sanzioni reali. Ecco cosa ci dicono sull'intero mercato.
Per anni, le aziende albanesi hanno trattato la protezione dei dati personali come un obbligo formale — qualcosa che avrebbero fatto "quando sarebbe arrivato il loro turno". Il 30 gennaio 2026, il turno e arrivato.
Il Commissario ha emesso le Decisioni n. 02, 03 e 04 — rispettivamente nei confronti di Engineering Albania shpk, Instant AL shpk e Sisal Albania shpk. Tutte e tre societa commerciali attive nel settore della tecnologia e dei servizi IT. Tutte e tre indagate con lo stesso focus: le misure tecnico-organizzative e il SGSI.
Non faro un riassunto tecnico di ogni decisione. Analizero le cinque lezioni pratiche che ogni azienda albanese dovrebbe trarne.
Lezione 1: Le policy del gruppo internazionale non ti salvano
Engineering Albania — parte di Engineering Group Italia — ha sostenuto che le policy sulla privacy del gruppo, pubblicate su eng.it, coprivano anche la filiale albanese.
Il Commissario ha respinto completamente questo argomento. Conclusione: le policy generali di un gruppo internazionale non soddisfano l'obbligo legale se non riflettono l'identita del titolare locale, le attivita specifiche, le basi giuridiche nazionali, i periodi reali di conservazione e i responsabili del trattamento locali.
Cosa significa per te? Se sei una filiale di un gruppo straniero e ti affidi alle policy della casa madre — hai lo stesso problema. Ti serve una policy dedicata, in lingua albanese, con riferimento alla Legge 124/2024.
Lezione 2: La bozza non e un documento
Alcune delle aziende indagate hanno presentato documenti ancora in fase di bozza — regolamenti interni senza firma, policy in versione "draft", procedure non ancora finalizzate.
La risposta del Commissario e stata netta: la documentazione presentata non soddisfa i requisiti della legge e non produce effetto giuridico.
Non dovrebbe essere una sorpresa. Davanti a un tribunale o a un'ispezione, "avevo intenzione di farlo" non ha valore probatorio. Ha valore solo cio che hai fatto, firmato e implementato.
L'errore comune: Molte aziende hanno i documenti "pronti all'80%". Ma l'80% non conta. O e il 100% — approvato, firmato, comunicato al personale — oppure non esiste.
Lezione 3: Il SGSI non e facoltativo per le grandi aziende
Tutte e tre le decisioni si sono concentrate principalmente sulle misure tecnico-organizzative, con particolare attenzione al SGSI (Sistema di Gestione della Sicurezza delle Informazioni). Questo obbligo deriva dall'Istruzione n. 47/2018 (ora sostituita dall'Istruzione n. 08/2025) e richiede un approccio sistematico alla sicurezza, basato su ISO 27001.
Non basta avere un antivirus e un firewall. Il Commissario richiede: politiche di sicurezza scritte, procedure di gestione degli incidenti, matrici di controllo degli accessi (RBAC) e prove di implementazione.
Chi e considerato un "soggetto di grandi dimensioni"? Aziende con piu di 50 dipendenti, o che trattano dati sensibili su larga scala, o che forniscono servizi IT/BPO a piu clienti. Se rientri in questa categoria, il SGSI non e un "nice to have" — e un obbligo di legge.
Lezione 4: La formazione deve coprire la legge albanese, non solo il GDPR
Una delle conclusioni piu interessanti: il Commissario ha evidenziato che la formazione del personale basata esclusivamente sul GDPR non soddisfa l'obbligo. La Legge 124/2024 ha specificita nazionali che non sono coperte dai materiali generali europei.
E questo non vale solo per il contenuto. Il Commissario verifica: c'e una lista dei partecipanti? C'e un verbale? C'e prova che la formazione sia stata effettivamente svolta?
In pratica, molte aziende dicono "abbiamo formato i dipendenti" ma non hanno alcuna prova. Davanti al Commissario, le promesse non hanno valore — i documenti si.
Lezione 5: La collaborazione riduce la sanzione. Molto.
In tutte e tre le decisioni, il Commissario ha sottolineato il "grado di collaborazione" da parte dei titolari e ha calcolato la sanzione sulla base delle soglie minime.
Questo significa: quando il Commissario bussa alla tua porta, la tua reazione conta. Se collabori, presenti la documentazione e dimostri disponibilita a correggere la situazione — la sanzione resta al minimo. Se ostruisci, ritardi o rifiuti — la sanzione aumenta secondo la metodologia dell'Istruzione n. 06/2025.
La strategia intelligente: Meglio investire ora nella conformita che pagare una sanzione dopo un'ispezione. E se l'ispezione arriva — collabora pienamente. Non e debolezza, e strategia.
Cosa aspettarsi nel prossimo futuro
Queste tre decisioni sono solo l'inizio. Il Commissario ha dimostrato capacita esecutiva — gli ordini di indagine sono stati emessi a settembre 2025, le decisioni sono arrivate a gennaio 2026, il termine per la conformita e di 45 giorni. Questa tempistica dimostra che la macchina amministrativa funziona.
Se hai un'azienda in Albania e non sei ancora conforme alla Legge 124/2024, il momento di agire non e domani. E oggi.
Vuoi una valutazione rapida della conformita? OnLaw Office, tramite ITAKA7, effettua audit completi ai sensi della Legge 124/2024 e prepara la documentazione in vista delle ispezioni. Contattaci.