Qual è la differenza tra GDPR, DSG e BDSG?

Il GDPR è il Regolamento generale sulla protezione dei dati dell'UE, direttamente applicabile in tutti gli Stati membri. La legge austriaca sulla protezione dei dati (DSG) e la legge federale tedesca sulla protezione dei dati (BDSG) integrano il GDPR con disposizioni nazionali consentite dalle cosiddette clausole di apertura del GDPR – ad esempio in materia di protezione dei dati dei dipendenti o di trattamento da parte delle autorità pubbliche.

Il tracciamento GPS dei dipendenti è consentito in Austria e in Germania?

Sì, a condizioni rigorose. Il tracciamento GPS è ammesso solo durante l'orario di lavoro, solo per legittime finalità aziendali e solo se i dipendenti sono informati in modo trasparente. In Austria è obbligatorio un accordo aziendale ai sensi del § 96 ArbVG, in Germania il consenso del consiglio di fabbrica ai sensi del § 87 BetrVG. Una sorveglianza permanente senza un motivo concreto è vietata in entrambi i Paesi.

Quando ho bisogno di un responsabile della protezione dei dati?

In Germania è obbligatorio nominare un responsabile della protezione dei dati quando almeno 20 persone si occupano stabilmente del trattamento automatizzato di dati personali (§ 38 BDSG). In Austria non esiste una soglia nazionale analoga: il GDPR stesso impone la nomina in caso di trattamento su larga scala di dati sensibili o di sorveglianza sistematica (Art. 37 GDPR). Per molte PMI si raccomanda la nomina volontaria.

Quali sanzioni sono previste per le violazioni del GDPR?

Per le violazioni meno gravi (ad es. mancanza di informative sulla protezione dei dati) sono previste sanzioni fino a 10 milioni di euro o al 2 % del fatturato annuo mondiale. Per le violazioni gravi – come il trattamento illecito dei dati o la violazione dei diritti degli interessati – sono possibili ammende fino a 20 milioni di euro o al 4 % del fatturato annuo. Inoltre, gli interessati possono richiedere il risarcimento del danno.

Anche una piccola impresa ha bisogno di un registro delle attività di trattamento?

Sì, nella maggior parte dei casi. L'esenzione per le imprese con meno di 250 dipendenti si applica solo se il trattamento non comporta rischi per gli interessati, non viene effettuato regolarmente e non riguarda categorie particolari di dati. Poiché quasi ogni azienda tratta regolarmente dati di dipendenti e clienti, il registro delle attività di trattamento ai sensi dell'Art. 30 GDPR è in pratica obbligatorio per tutte le imprese.

Protezione dei dati & GDPR in Austria e Germania 2025

GDPR: diritto uniforme – attuazione differente

Dal maggio 2018 il Regolamento generale sulla protezione dei dati (GDPR) si applica direttamente in tutta Europa – in Austria così come in Germania. Ciò significa che gli obblighi fondamentali per le aziende sono identici in entrambi i Paesi. Esistono tuttavia peculiarità nazionali che nella pratica fanno una differenza notevole: l'Austria ha utilizzato le clausole di apertura nazionali con la legge sulla protezione dei dati (DSG), la Germania con il Bundesdatenschutzgesetz (BDSG).

Chi opera in entrambi i Paesi – o ha dipendenti in entrambi i Paesi – deve tenere d'occhio entrambi i quadri normativi. Questo articolo Le offre una panoramica pratica.

I 7 principi del GDPR: la base di tutto

Ogni trattamento di dati personali deve essere compatibile con i sette principi del GDPR. Questi si applicano ugualmente in Austria e in Germania:

� Liceità, correttezza e trasparenza: i dati possono essere trattati solo con una base giuridica e in modo trasparente.
� Limitazione della finalità: i dati possono essere utilizzati solo per lo scopo per cui sono stati raccolti.
� Minimizzazione dei dati: possono essere raccolti solo i dati necessari allo scopo.
� Esattezza: i dati devono essere mantenuti aggiornati e corretti.
� Limitazione della conservazione: i dati non possono essere conservati più a lungo del necessario.
� Integrità e riservatezza: i dati devono essere protetti con misure adeguate.
� Responsabilizzazione: il titolare del trattamento deve essere in grado di dimostrare la conformità.

Basi giuridiche: quando posso trattare i dati?

Senza una base giuridica, qualsiasi trattamento di dati è illecito. Il GDPR prevede sei possibili basi giuridiche (art. 6 GDPR). Nella pratica, per le aziende ne sono rilevanti principalmente tre:

1. Consenso (art. 6, par. 1, lett. a GDPR)

L'interessato presta il consenso in modo libero, informato e inequivocabile. Nel rapporto di lavoro il consenso va valutato criticamente – a causa del rapporto di potere tra datore di lavoro e lavoratore, la volontarietà viene spesso messa in dubbio. In Austria e in Germania si applicano criteri rigorosi.

2. Esecuzione di un contratto (art. 6, par. 1, lett. b GDPR)

Il trattamento è necessario per l'esecuzione di un contratto – ad esempio il trattamento dei dati bancari per il pagamento dello stipendio o dei dati di indirizzo per la consegna.

3. Legittimo interesse (art. 6, par. 1, lett. f GDPR)

Il titolare ha un legittimo interesse che prevale sugli interessi dell'interessato. Tale bilanciamento deve essere documentato caso per caso ed è particolarmente rilevante in caso di sorveglianza dei dipendenti (GPS, controllo delle e-mail, videosorveglianza).

Protezione dei dati dei lavoratori: obblighi specifici nel rapporto di lavoro

Il trattamento dei dati dei dipendenti è uno degli ambiti più delicati del GDPR – e al tempo stesso uno in cui si verificano particolarmente molte violazioni. Cosa devono rispettare i datori di lavoro:

Austria: § 11 DSG

La legge austriaca sulla protezione dei dati contiene al § 11 una disposizione specifica per il trattamento dei dati dei dipendenti. Il trattamento è lecito se è necessario per l'esecuzione del contratto di lavoro, si basa su un accordo aziendale o gli interessi meritevoli di tutela non prevalgono. Gli accordi aziendali ai sensi dell'ArbVG possono fungere da base giuridica per il trattamento dei dati – uno strumento importante che non esiste in questa forma in Germania.

Germania: §§ 26, 87 BDSG / BetrVG

In Germania il § 26 BDSG disciplina il trattamento dei dati dei dipendenti. Di particolare rilievo: i dati possono essere trattati per l'accertamento di reati solo se sussistono indizi concreti e il principio di proporzionalità è rispettato. Il consiglio aziendale ha ai sensi del § 87 BetrVG ampi diritti di cogestione per gli impianti di sorveglianza tecnica – quindi anche per i sistemi di rilevamento presenze, il GPS tracking e le telecamere.

GPS tracking dei dipendenti: cosa è consentito?

La localizzazione GPS nei servizi esterni, sui veicoli aziendali o nei servizi di consegna è molto diffusa – ma lecita solo a condizioni rigorose. I seguenti principi si applicano in Austria e in Germania:

� GPS tracking esclusivamente durante l'orario di lavoro – non nel tempo libero
� Informazione trasparente dei dipendenti su tipo, portata e scopo
� Proporzionalità: lo scopo deve giustificare il tracking (ad es. pianificazione dei percorsi, prova degli orari di intervento)
� In Austria: accordo aziendale necessario (ArbVG § 96 Abs. 1 Z 3)
� In Germania: delibera del consiglio aziendale ai sensi del § 87 Abs. 1 Nr. 6 BetrVG
� La sorveglianza permanente senza un motivo concreto è illecita in entrambi i Paesi

Consiglio pratico: documentare per iscritto la finalità del GPS tracking, stabilire chi ha accesso ai dati di localizzazione e regolamentare i termini di cancellazione. L'assenza di un accordo aziendale può rendere illecito l'intero sistema – anche se la tecnologia è già operativa.

Videosorveglianza sul luogo di lavoro

Le telecamere in azienda sono consentite solo a condizioni rigorose. In entrambi i Paesi vale: la videosorveglianza aperta (ovvero con telecamere visibili ai dipendenti) per scopi legittimi come la protezione contro i furti con scasso o la sorveglianza delle casse può essere lecita – la sorveglianza occulta è fondamentalmente vietata.

In Austria il DSG in combinato disposto con l'ArbVG disciplina la videosorveglianza dei dipendenti. Un accordo aziendale è obbligatorio quando la sorveglianza tocca la dignità umana (§ 96 Abs. 1 Z 3 ArbVG). In Germania il consiglio aziendale deve essere obbligatoriamente coinvolto ai sensi del § 87 Abs. 1 Nr. 6 BetrVG. In assenza del consenso, i dati registrati possono in alcuni casi essere inutilizzabili in un procedimento.

GDPR nell'homeoffice: la protezione dei dati non finisce alla porta dell'ufficio

Chi lavora in homeoffice tratta spesso dati altrettanto sensibili di quelli trattati in ufficio – ma senza l'infrastruttura di sicurezza fisica dell'azienda. I datori di lavoro rimangono responsabili anche per il posto di lavoro domestico. Le misure principali:

� Obbligo di VPN per l'accesso ai sistemi aziendali
� Solo dispositivi aziendali o protetti da MDM per il trattamento dei dati aziendali
� Blocco schermo e password sicure obbligatori
� Nessun servizio cloud privato (Google Drive, Dropbox ecc.) per i documenti di lavoro
� Conservare i documenti fisici in modo sicuro – nessuno sguardo di terzi su materiali riservati
� Istruzione in materia di protezione dei dati per l'homeoffice da consegnare per iscritto e far confermare dal dipendente

Il registro dei trattamenti: obbligo per ogni azienda

Ogni azienda con più di 250 dipendenti è obbligata ai sensi dell'art. 30 GDPR a tenere un registro di tutte le attività di trattamento. Le aziende più piccole sono esentate solo se i loro trattamenti non comportano rischi per gli interessati e non vengono effettuati regolarmente – nella pratica questa eccezione riguarda quasi nessuna azienda.

Il registro deve contenere per ogni attività di trattamento: finalità, categorie degli interessati e dei dati, destinatari, trasferimenti verso Paesi terzi, termini di cancellazione nonché misure tecniche e organizzative (MTO).

Il responsabile della protezione dei dati: quando è obbligatorio?

In Germania un responsabile della protezione dei dati (RPD) è obbligatorio quando almeno 20 persone si occupano costantemente del trattamento automatizzato di dati personali (§ 38 BDSG). In Austria il DSG non prevede una soglia nazionale comparabile – l'obbligo previsto dal GDPR (art. 37) scatta in caso di trattamento su larga scala di dati sensibili o di sorveglianza sistematica. Nella pratica le autorità di controllo di entrambi i Paesi raccomandano alle piccole e medie imprese di designare volontariamente un RPD.

Sanzioni: cosa si rischia in caso di violazioni?

Il GDPR prevede sanzioni severe. A seconda della gravità della violazione, possono essere irrogate ammende fino a 10 milioni di euro o al 2 % del fatturato annuo mondiale (per violazioni meno gravi) oppure fino a 20 milioni di euro o al 4 % del fatturato (per violazioni gravi come il trattamento illecito di dati o la violazione dei diritti degli interessati).

Le autorità di controllo competenti sono in Austria l'Autorità per la protezione dei dati (DSB) e in Germania le rispettive autorità regionali per la protezione dei dati (ad es. BayLDA, LfDI Baden-Württemberg, DSK a livello federale). Entrambe le autorità hanno intensificato notevolmente le proprie attività di controllo negli ultimi anni.

Conclusione: la protezione dei dati non è un progetto – è un'attività continua

La conformità al GDPR non è un'attività una tantum che si può spuntare da un elenco. I trattamenti dei dati cambiano, si aggiungono nuovi strumenti, i dipendenti cambiano, il lavoro da casa si espande. Chi intende la protezione dei dati come un processo continuativo – con un registro dei trattamenti aggiornato, formazioni periodiche e istruzioni chiare – non protegge solo i propri clienti e dipendenti, ma anche l'azienda stessa da conseguenze costose.

Investa nella protezione dei dati prima che si verifichi un incidente. I costi di una struttura GDPR ben impostata sono una frazione di quanto può costare una singola violazione.

Protezione dei dati & GDPR in Austria e Germania: cosa devono sapere le aziende