A Lei de Proteção de Dados da Albânia aplica-se a todas as operações de processamento de dados pessoais realizadas dentro do território albanês. A extraterritorialidade não é explicitamente mencionada, mas a harmonização com o GDPR está em andamento (p. 24; § 3-5).
A legislação albanesa distingue claramente entre controladores e operadores de dados. O controlador decide as finalidades e meios de processamento dos dados pessoais, enquanto o operador processa os dados conforme as instruções do controlador (p. 29; § 4).
Dados pessoais são definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável, direta ou indiretamente, em particular por referência a um número de identificação ou a um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social (p. 24; § 6).
Dados sensíveis incluem informações sobre origem racial ou étnica, opiniões políticas, filiação sindical, crenças religiosas ou filosóficas, processos criminais, bem como dados relativos à saúde e à vida sexual (p. 24; § 7).
O tratamento de dados pessoais pode ocorrer com base nas seguintes bases legais:
Consentimento explícito do titular;
Necessidade para a execução de um contrato;
Proteção de interesses vitais do titular;
Cumprimento de uma obrigação legal;
Execução de uma tarefa de interesse público;
Proteção dos direitos legítimos do controlador ou de terceiros (p. 24; § 8).
Os controladores e operadores de dados devem adotar medidas organizacionais e técnicas adequadas para proteger os dados pessoais contra destruição ilegal ou acidental, perda acidental, acesso ou divulgação não autorizados, e qualquer forma de processamento ilegal (p. 29; § 1).
Os titulares de dados têm o direito de acesso, retificação, exclusão, e oposição ao processamento de seus dados pessoais. Eles também têm o direito de serem informados sobre qualquer processamento para fins de marketing direto e de recusar tal processamento (p. 31; § 4).
A transferência internacional de dados pessoais é permitida para países que garantem um nível adequado de proteção de dados. Se essa proteção não for garantida, a transferência pode ocorrer com base no consentimento do titular ou se for necessária para a execução de um contrato (p. 28; § 2-3).
Empresas que realizam grandes processamentos de dados devem nomear um Encarregado de Proteção de Dados (DPO) responsável pela supervisão interna da conformidade com a proteção de dados (p. 26; § 2).
A legislação albanesa não prevê uma obrigação geral de notificação de incidentes. No entanto, entidades que processam grandes volumes de dados devem notificar o Comissário em caso de violação de dados pessoais que possa afetar negativamente os direitos dos titulares (p. 29; § 4).
A legislação não especifica disposições detalhadas sobre a proteção de dados de menores, mas o consentimento deve ser obtido conforme os princípios gerais de proteção de dados (p. 26; § 3).
Infrações à Lei de Proteção de Dados podem resultar em multas administrativas que variam de 10.000 a 1.000.000 ALL (aproximadamente 83 a 8.300 EUR), com pessoas jurídicas sujeitas ao dobro dos valores especificados. Em casos de reincidência ou violações graves, o Comissário pode agir publicamente ou relatar o caso ao Parlamento e ao Conselho de Ministros (p. 31; § 1-2).
2024 | Cyber Law Brasil | Todos os Direitos Reservados