A gennaio 2026, il Commissario per la Protezione dei Dati Personali ha multato tre aziende in un solo giorno. Nessuno puo dire piu "tanto non lo applica nessuno". Ecco cosa devi sapere — e cosa devi fare.
La Legge n. 124/2024 "Sulla protezione dei dati personali" e entrata in vigore, sostituendo la vecchia normativa. La maggior parte delle aziende albanesi l'ha trattata come una formalita. Il Commissario ha dimostrato a gennaio 2026 che non lo e.
Il 30 gennaio 2026, il Commissario ha emesso tre provvedimenti sanzionatori — nei confronti di Engineering Albania, Instant AL e Sisal Albania. Tre aziende tecnologiche, tre sanzioni, un messaggio: l'epoca del "lo faremo" e finita.
Non parlo della legge in astratto. Parlo di sanzioni concrete imposte a societa commerciali reali a Tirana. Se gestisci un'azienda che detiene dati di clienti, dipendenti o fornitori — questo articolo e per te.
Quattro cose che il Commissario controlla prima di tutto
Dalle decisioni di gennaio 2026, le priorita ispettive sono chiaramente identificabili:
1. L'informativa privacy sul sito web
Il Commissario e stato esplicito: un'informativa generica di un gruppo internazionale non e sufficiente. Serve un'informativa dedicata, in lingua albanese, con l'identita del titolare locale, le basi giuridiche specifiche e i periodi reali di conservazione. Engineering Albania e stata sanzionata proprio per questo.
2. Il regolamento interno (la bozza non basta)
Instant AL ha presentato documenti ancora in fase di redazione. La risposta del Commissario: le bozze non producono effetto giuridico. Il documento deve essere approvato, firmato e comunicato ai dipendenti.
3. SGSI (Sistema di Gestione della Sicurezza delle Informazioni)
Per le grandi aziende, il Commissario richiede un SGSI basato su ISO 27001. Non basta dire "abbiamo un firewall". Servono politiche di sicurezza scritte, procedure di gestione degli incidenti e controlli degli accessi documentati.
4. La formazione del personale — con la legge albanese
La formazione basata esclusivamente sul GDPR non e sufficiente. Serve una formazione specifica sulla Legge 124/2024. Il Commissario verifica le liste dei partecipanti e i verbali.
A quanto ammontano le sanzioni?
La legge prevede due livelli di sanzioni:
Articolo 94, comma 1: Fino a 1 miliardo di ALL o il 2% del fatturato annuo globale — per violazioni degli obblighi organizzativi (RoPA, SGSI, notifiche).
Articolo 94, comma 2: Fino a 2 miliardi di ALL o il 4% del fatturato annuo globale — per violazioni dei principi fondamentali (base giuridica, diritti degli interessati, obblighi informativi).
Nelle decisioni di gennaio, il Commissario ha calcolato la sanzione basandosi sulle soglie minime e tenendo conto della collaborazione dei soggetti. In altre parole: se collabori, la sanzione diminuisce. Se non collabori, aumenta.
Cosa devi fare adesso
Se finora non hai fatto nulla, inizia con questi passi — in ordine di priorita:
- Pubblica l'informativa privacy sul tuo sito, in albanese, con tutti gli elementi previsti dall'articolo 13.
- Redigi e approva il regolamento interno — non una bozza, ma un documento firmato dall'amministratore.
- Compila il RoPA — il registro delle attivita di trattamento. Senza di esso, non puoi dimostrare di sapere quali dati detieni.
- Effettua la formazione del personale, con verbale e lista dei partecipanti. Il Commissario li richiede.
- Valuta se ti serve un DPO — se tratti dati su larga scala o effettui un monitoraggio sistematico, la risposta e probabilmente si.
Non e un lavoro da un giorno. Ma piu a lungo rimandi, piu alto e il rischio — perche il Commissario ha iniziato le ispezioni e non ha intenzione di fermarsi.
Vuoi sapere a che punto sei con la Legge 124/2024? OnLaw Office effettua valutazioni di conformita e offre servizi di DPO esterno per le aziende. Contattaci.