GDPR: cosa le aziende non Ue devono sapere

In Europa, il 25 maggio di quest’anno, è divenuto efficace il nuovo Regolamento Generale sulla Protezione dei Dati 679/2016, noto come GDPR. La nuova normativa ha dato vita ad una corsa all’adeguamento per la maggior parte delle società europee, e non solo.

Il Regolamento non colpisce esclusivamente le società che operano in Europa e si trovano fisicamente nel Vecchio Continente, ma riguarda tutte le aziende che trattano dati personali appartenenti a cittadini europei, come molte negli Stati Uniti.

Il GDPR fa parte delle iniziative legislative sorte in seno alla strategia del Digital Single Market voluta dalla Commissione Juncker e ha sostituito la precedente Direttiva 95/46/CE sulla protezione dei dati e le normative nazionali correlate.

La nuova disciplina ha come filo rosso un maggior controllo da parte dei cittadini sui propri dati personali, grazie a obblighi informativi e di trasparenza in capo alle imprese, all’introduzione di nuovi diritti come il diritto alla portabilità, nonché una maggiore enfasi posta sul consenso al trattamento.

L’aspetto che spaventa le imprese è senza dubbio rappresentato dalle sanzioni poste dal GDPR, che in casi particolari possono raggiungere i 10 milioni di euro o una cifra che si aggira tra il 2% e il 4% del fatturato annuo mondiale.

Le società che trattano dati personali, che nell’era digitale sono la grande maggioranza, avrebbero dovuto adeguarsi ai nuovi obblighi entro fine maggio. La realtà è tuttavia differente, dato che molte aziende ci stanno ancora lavorando, avendo iniziato il processo di compliance in ritardo.

Per comprendere come il Regolamento influisca sulle società statunitensi mi sono rivolto a una specialista del settore, Lucrezia Berto, laureata in giurisprudenza all’Università Commerciale Luigi Bocconi di Milano, dove ha poi frequentato l’LL.M. in Law of Internet Technology specializzandosi in data protection. Attualmente, Lucrezia si occupa di protezione dei dati in uno studio legale in Spagna, a Barcellona, e scrive per una rivista giuridica online sempre in materia di data protection.

In che modo il Regolamento coinvolge società che si trovano al di fuori dell’Unione Europea?

Il Regolamento ha un ambito applicativo esteso, difatti deve essere applicato da tutte le società che trattano, nel senso tecnico del termine, dati personali di cittadini europei che si trovano in Europa. A osservare bene, coinvolge molte più aziende di quanto si possa pensare. Considerando che, tecnicamente, costituisce ‘trattamento di dati’ qualsiasi operazione di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di tali dati personali, praticamente ogni società che, per qualche motivo, abbia rapporti con l’Ue, deve per forza applicarlo. Non si tratta solo delle società che hanno anche una sede fisica nella Ue, o dei colossi come Facebook, Google e Microsoft, ma anche società dalle dimensioni più contenute che, ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. In aggiunta, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.

Quindi non sono coinvolte solo grandi multinazionali, ma anche piccole e medie imprese?

Sicuramente il livello di coinvolgimento è differente; difatti si differenziano per quantità di dati trattati e, dunque, di rischi a cui sono soggetti. Tuttavia, anche le Pmi devono adattarsi al GDPR, qualora trattino dati personali di cittadini Ue.

Se in Europa la piena conformità al Regolamento è ancora lontana, c’è da aspettarsi che negli Stati Uniti ci sia ancor più confusione sia sui tempi sia sulle modalità per adeguarsi alla nuova normativa sulla privacy europea.

La rivista Forbes, a fine marzo, riportava che solo il 21% delle aziende americane aveva un piano per il GDPR. A tre mesi di distanza la situazione potrà essere forse migliorata, ma temo che non si sia raggiunta una percentuale prossima al 100%, anche alla luce del report di Gartner, in cui si prevede che entro fine del 2018 le società, siano esse europee o americane, fully GDPR compliant saranno meno del 50%.

Quali sono i passi che le aziende non europee devono compiere per capire se siano coinvolte dal GDPR e in che misura?

Innanzitutto determinare se, tra i dati personali trattati dall’azienda, ci sono dati di cittadini europei. Può sembrare un elemento banale, ma non si tratta sempre di un’analisi semplice, dato il potenziale elevato numero di dati che ogni azienda tratta, e con finalità differenti.

È necessario poi comprendere quale sia il ruolo dell’azienda, o meglio, comprendere se l’azienda assume il ruolo di data controller (in italiano, titolare del trattamento), o data processor (responsabile del trattamento). Difatti, il Regolamento impone obblighi specifici in capo alle due differenti figure, dando rilievo a due fondamentali tipi di rapporto con il trattamento dei dati: mentre il titolare ne determina finalità e mezzi, il responsabile è invece l’entità che tratta i dati per conto del titolare.

Ciascuna azienda poi ha le proprie peculiarità che devono essere vagliate da un avvocato specializzato in data protection, affinché si proceda nel modo più corretto. In generale, però, i punti chiave sono il consenso al trattamento dei dati e la notifica in caso di data breach. Il consenso, infatti, deve essere liberamente fornito dall’interessato (in inglese, data subject) in modo chiaro, esplicito e informato. In caso di data breach, inoltre, è necessario darne comunicazione alla autorità di controllo entro 72 ore.

Tuttavia adattarsi al GDPR non si limita a questo e, per essere certi di muoversi nella direzione giusta, è necessario rivolgersi ad un professionista.

La protezione dei dati oggi è di fondamentale importanza, non solo in Europa, e Prager Metis da sempre pone al primo posto la tutela dei dati personali dei suoi clienti. Con la creazione di Prager Metis Technology, in aggiunta, fornisce servizi di Cybersecurity e Risk Intelligence, dimostrando di essere sempre al passo con le nuove necessità del mondo digitale.

Per qualsiasi domanda, potete contattarmi al mio indirizzo email: afantozzi@pragermetis.com

Altri Servizi

Wall Street, il focus resta sulla Turchia

Giornata economica priva di altri spunti di nota
iStock


Trump condanna razzismo e invita all'unità un anno dopo Charlottesville

Al via a Washington manifestazione di suprematisti bianchi. Prevista contro-manifestazione. Nella città della Virginia dichiarato lo stato di emergenza
AP

Charlottesville. Un anno dopo. Mentre la capitale americana si prepara a ospitare una manifestazione di suprematisti bianchi - gli stessi che l'11 agosto del 2017 crearono caos e violenze mortali nella città della Virginia - Donald Trump invita una nazione forse mai così divisa "all'unità". Il 45esimo presidente americano ha fatto di nuovo ricorso al suo megafono - Twitter - per "condannare tutti i tipi di razzismo e atti di violenza". E per augurare "pace a TUTTI gli americani". Peccato che grand parte dei cittadini Usa creda che da quando Trump è stato eletto le relazioni razziali siano peggiorate.

Abituato ad attaccare i suoi più feroci critici, il Ceo di Tesla ne ha combinata un'altra delle sue. Il tutto mentre il mondo della finanza continua a interrogarsi se e come Elon Musk realizzerà il delisting del gruppo, ipotizzato martedì 7 agosto in una serie di tweet controversi su cui la Sec ha acceso un faro. Intanto il cda di Tesla si prepara a incontrare gli advisor finanziari per discutere dell'operazione.

Cooperare o morire. Facebook smentisce minaccia fatta agli editori

A darne notizia è The Australian, parte della galassia di Rupert Murdoch. Il social network non più interessato a inviare traffico ai gruppi media

Facebook ha smentito quando riportato da un sito australiano, secondo cui al Ceo Mark Zuckerberg "non importa" nulla degli editori e che il social network li lascerebbe morire se non cooperano con il gigante tecnologico. Stando alle indiscrezioni del The Australian, parte della galassia di Rupert Murdoch - il manager responsabile delle partnership nel campo dell'informazione (Campbell Brown) avrebbe messo in guardia i gruppi editoriali che non vogliono lavorare con l'azienda californiana. Lo avrebbe fatto la settimana scorsa durante un incontro a Sidney: "Vi terrò per mano mentre il vostro business muore, come si fa in un hospice". Facebook ha reagito dicendo che i commenti "sono stati decontestualizzati".

AP

Dopo essere stato pesantemente criticato per la serie di tweet controversi (e privi di dettagli) con cui il 7 agosto scorso aveva annunciato di volere delistare Tesla e renderla un gruppo in mani private, il Ceo Elon Musk ha pubblicato un blog post nel tentativo di fornire chiarimenti. Tuttavia gli investitori sono rimasti scettici sul suo piano di buyout.

L'ambasciatrice Mariangela Zappia debutta all'Onu, vede Guterres

La nuova Rappresentante Permanente dell’Italia presso il palazzo di vetro ha presentato le sue credenziali. I temi prioritari per il nostro Paese: pace e sicurezza, diritti umani, sviluppo sostenibile, migrazioni

La nuova Rappresentante Permanente dell’Italia presso le Nazioni Unite a New York, l'ambasciatrice Mariangela Zappia, ha presentato oggi le lettere credenziali al segretario generale Antonio Guterres. Durante l’incontro con Guterres, Zappia ha evidenziato la priorità assegnata dall’Italia a un multilateralismo efficace, al ruolo del Palazzo di vetro per la pace e la sicurezza internazionali e quale pilastro di un sistema internazionale fondato sul diritto e sul rispetto della persona.

News Corp: nell'anno perdita più che doppia a 1,4 miliardi di dollari

Pesano investimenti per creare una delle più grandi pay-tv d'Australia. il Wall Street Journal ha più abbonati digitali che su carta
iStock

Archiviato il suo quarto trimestre fiscale in perdita, ma soddisfando comunque gli analisti, News Corp ha chiuso l'esercizio 2018 con un buco di 1,4 miliardi di dollari, più che doppio di quello del 2017, e ricavi in rialzo dell'11% a 9,02 miliardi. Per il Ceo Robert Thomson quella dell'anno terminato il 30 giugno scorso è stata "una performance robusta in tutti i nostri business" e con "cambiamenti positivi e profondi nel nostro flusso dei ricavi, che sono stati più globali, digitali e basati sugli abbonamenti". Basti un esempio: The Times, The Sunday Times e The Wall Street Journal "hanno raggiunto nuovi massimi nella loro trasformazione digitale con abbonati digitali che ora superano quelli della versione cartacea" di questi giornali.

Diritti umani, l'alto commissario Onu: parole di Trump "vicine all'incitamento alla violenza"

Zeid Ra'ad al-Hussein: "La sua retorica mi ricorda i tempi bui" del ventesimo secolo

La retorica del presidente statunitense, Donald Trump, contro i mass media 'nemici del popolo' è "molto vicina all'incitamento alla violenza", che potrebbe portare i giornalisti ad autocensurarsi o a essere attaccati. Lo ha detto l'alto commissario per i diritti umani delle Nazioni Unite, Zeid Ra'ad al-Hussein, in un'intervista esclusiva al Guardian prima della fine del suo mandato. Il diplomatico e principe giordano lascerà l'incarico questo mese, dopo aver deciso di non ripresentarsi per un secondo mandato quadriennale, in un momento in cui le grandi potenze mondiali sembrano meno impegnate a combattere gli abusi.

Trump pronto a rivedere accordi duty-free con nazioni piccole

Indonesia e Thailandia nel mirino. Dall'autunno analisi su accordi in Europa orientale, Medio Oriente e Africa

Non ci sono solo la Cina o l'Unione europea nel mirino (commerciale) degli Stati Uniti. Da quando Donald Trump è diventato presidente americano, era il gennaio 2017, Washington sta analizzando gli accordi commerciali grazie ai quali nazioni più piccole e meno sviluppate da 30 anni esportano in Usa migliaia di prodotti duty-free.

Dazi Usa per 16 miliardi di dollari su import cinese scattano il 23 agosto

Si aggiungono a quelli del 25% su 34 miliardi entrati in vigore il 6 luglio

Preannunciati il 15 luglio, i dazi americani su prodotti cinesi per 16 miliardi di dollari entreranno in vigore il 23 agosto prossimo. Le tariffe doganali si aggiungeranno a quelle del 25% scattate il 6 luglio scorso per 34 miliardi su 818 articoli Made in China.