GDPR: cosa le aziende non Ue devono sapere

In Europa, il 25 maggio di quest’anno, è divenuto efficace il nuovo Regolamento Generale sulla Protezione dei Dati 679/2016, noto come GDPR. La nuova normativa ha dato vita ad una corsa all’adeguamento per la maggior parte delle società europee, e non solo.

Il Regolamento non colpisce esclusivamente le società che operano in Europa e si trovano fisicamente nel Vecchio Continente, ma riguarda tutte le aziende che trattano dati personali appartenenti a cittadini europei, come molte negli Stati Uniti.

Il GDPR fa parte delle iniziative legislative sorte in seno alla strategia del Digital Single Market voluta dalla Commissione Juncker e ha sostituito la precedente Direttiva 95/46/CE sulla protezione dei dati e le normative nazionali correlate.

La nuova disciplina ha come filo rosso un maggior controllo da parte dei cittadini sui propri dati personali, grazie a obblighi informativi e di trasparenza in capo alle imprese, all’introduzione di nuovi diritti come il diritto alla portabilità, nonché una maggiore enfasi posta sul consenso al trattamento.

L’aspetto che spaventa le imprese è senza dubbio rappresentato dalle sanzioni poste dal GDPR, che in casi particolari possono raggiungere i 10 milioni di euro o una cifra che si aggira tra il 2% e il 4% del fatturato annuo mondiale.

Le società che trattano dati personali, che nell’era digitale sono la grande maggioranza, avrebbero dovuto adeguarsi ai nuovi obblighi entro fine maggio. La realtà è tuttavia differente, dato che molte aziende ci stanno ancora lavorando, avendo iniziato il processo di compliance in ritardo.

Per comprendere come il Regolamento influisca sulle società statunitensi mi sono rivolto a una specialista del settore, Lucrezia Berto, laureata in giurisprudenza all’Università Commerciale Luigi Bocconi di Milano, dove ha poi frequentato l’LL.M. in Law of Internet Technology specializzandosi in data protection. Attualmente, Lucrezia si occupa di protezione dei dati in uno studio legale in Spagna, a Barcellona, e scrive per una rivista giuridica online sempre in materia di data protection.

In che modo il Regolamento coinvolge società che si trovano al di fuori dell’Unione Europea?

Il Regolamento ha un ambito applicativo esteso, difatti deve essere applicato da tutte le società che trattano, nel senso tecnico del termine, dati personali di cittadini europei che si trovano in Europa. A osservare bene, coinvolge molte più aziende di quanto si possa pensare. Considerando che, tecnicamente, costituisce ‘trattamento di dati’ qualsiasi operazione di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di tali dati personali, praticamente ogni società che, per qualche motivo, abbia rapporti con l’Ue, deve per forza applicarlo. Non si tratta solo delle società che hanno anche una sede fisica nella Ue, o dei colossi come Facebook, Google e Microsoft, ma anche società dalle dimensioni più contenute che, ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. In aggiunta, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.

Quindi non sono coinvolte solo grandi multinazionali, ma anche piccole e medie imprese?

Sicuramente il livello di coinvolgimento è differente; difatti si differenziano per quantità di dati trattati e, dunque, di rischi a cui sono soggetti. Tuttavia, anche le Pmi devono adattarsi al GDPR, qualora trattino dati personali di cittadini Ue.

Se in Europa la piena conformità al Regolamento è ancora lontana, c’è da aspettarsi che negli Stati Uniti ci sia ancor più confusione sia sui tempi sia sulle modalità per adeguarsi alla nuova normativa sulla privacy europea.

La rivista Forbes, a fine marzo, riportava che solo il 21% delle aziende americane aveva un piano per il GDPR. A tre mesi di distanza la situazione potrà essere forse migliorata, ma temo che non si sia raggiunta una percentuale prossima al 100%, anche alla luce del report di Gartner, in cui si prevede che entro fine del 2018 le società, siano esse europee o americane, fully GDPR compliant saranno meno del 50%.

Quali sono i passi che le aziende non europee devono compiere per capire se siano coinvolte dal GDPR e in che misura?

Innanzitutto determinare se, tra i dati personali trattati dall’azienda, ci sono dati di cittadini europei. Può sembrare un elemento banale, ma non si tratta sempre di un’analisi semplice, dato il potenziale elevato numero di dati che ogni azienda tratta, e con finalità differenti.

È necessario poi comprendere quale sia il ruolo dell’azienda, o meglio, comprendere se l’azienda assume il ruolo di data controller (in italiano, titolare del trattamento), o data processor (responsabile del trattamento). Difatti, il Regolamento impone obblighi specifici in capo alle due differenti figure, dando rilievo a due fondamentali tipi di rapporto con il trattamento dei dati: mentre il titolare ne determina finalità e mezzi, il responsabile è invece l’entità che tratta i dati per conto del titolare.

Ciascuna azienda poi ha le proprie peculiarità che devono essere vagliate da un avvocato specializzato in data protection, affinché si proceda nel modo più corretto. In generale, però, i punti chiave sono il consenso al trattamento dei dati e la notifica in caso di data breach. Il consenso, infatti, deve essere liberamente fornito dall’interessato (in inglese, data subject) in modo chiaro, esplicito e informato. In caso di data breach, inoltre, è necessario darne comunicazione alla autorità di controllo entro 72 ore.

Tuttavia adattarsi al GDPR non si limita a questo e, per essere certi di muoversi nella direzione giusta, è necessario rivolgersi ad un professionista.

La protezione dei dati oggi è di fondamentale importanza, non solo in Europa, e Prager Metis da sempre pone al primo posto la tutela dei dati personali dei suoi clienti. Con la creazione di Prager Metis Technology, in aggiunta, fornisce servizi di Cybersecurity e Risk Intelligence, dimostrando di essere sempre al passo con le nuove necessità del mondo digitale.

Per qualsiasi domanda, potete contattarmi al mio indirizzo email: afantozzi@pragermetis.com

Altri Servizi

Wall Street, giornata di trimestrali

Restano le preoccupazioni per il più lungo shutdown nella storia degli Stati Uniti
AP

Trump riconosce Guaido come leader del Venezuela, sfida a Maduro

"Tutte le opzioni sono sul tavolo" se il regime reagirà con violenze. "Ha i giorni contati". Meglio una "exit pacifica" per consentire nuove elezioni. Caracas taglia le relazioni diplomatiche con Washington
AP

Il presidente americano, Donald Trump, ha ufficialmente riconosciuto come nuovo presidente ad interim del Venezuela l'attuale presidente dell'Assemblea nazionale e leader dell'opposizione nel Paese, Juan Guaido. E ha lanciato un messaggio al regime di Nicolas Maduro: se reagirà con violenza "tutte le opzioni sono sul tavolo". I suoi giorni sono comunque "contati". Lui ha reagito tagliando le relazioni diplomatiche con Washington, che ha 72 ore di tempo per riportare a casa il suo personale nella nazione.

Shutdown: Pelosi blocca il discorso sullo stato dell'unione, Trump pensa a evento "alternativo"

Continua il duello tra la leader della maggioranza democratica al Congresso e il presidente americano
Ap

Il duello a colpi di lettere tra la speaker democratica alla Camera Usa e il presidente americano non sembra terminare. Nancy Pelosi ha nuovamente scritto a Donald Trump spiegando che non autorizzerà il discorso sullo stato dell'unione che lo stesso Trump vuole tenere il prossimo 29 gennaio.

Ibm

Per International Business Machines (Ibm), il recupero dei ricavi trimestrali sembra un miraggio dopo la breve ripresa finita lo scorso giugno e durata nove mesi consecutivi (i primi successivi a cinque anni di declini). L'azienda ha tuttavia saputo superare le stime degli investitori, concentrati sul fatto che le vendite siano salite nell'intero esercizio per la prima volta in vari anni.

Shutdown e Russia, sempre più americani bocciano Trump

Sondaggio di Politico: il 57% disapprova il suo operato (record)
White House /Shealah Craighead

Il tasso di disapprovazione per l'operato del presidente statunitense, Donald Trump, ha raggiunto un nuovo record, a causa dello shutdown più lungo nella storia del Paese e delle preoccupazioni per i rapporti con l'omologo russo Vladimir Putin. Questo il risultato dell'ultimo sondaggio di Politico/Morning Consult, secondo cui il 57% degli elettori disapprova il lavoro di Trump, mentre il 40% lo approva.

La Corte Suprema Usa respinge Trump: resta la tutela per i Dreamers (per ora)

Il massimo tribunale ha deciso di non pronunciarsi sulla fine del programma Daca, cercata dal presidente anche per avere un'arma in più nei negoziati con i democratici su immigrazione e muro
Ap

La Corte Suprema statunitense ha respinto la richiesta dell'amministrazione Trump di valutare subito e pronunciarsi sulla fine del programma Daca, che protegge dal rimpatrio 700.000 immigrati irregolari arrivati da bambini. Questo significa che il programma voluto dall'allora presidente Barack Obama, contro cui si batte Donald Trump, resta per ora in vigore, in attesa che lo scontro arrivi a conclusione nei tribunali inferiori; inoltre, nel caso in cui il massimo tribunale dovesse accettare un nuovo tentativo da parte del governo, il caso non verrebbe discusso prima di ottobre e una decisione non sarebbe presa prima del 2020. La volontà del massimo tribunale statunitense di non valutare il caso toglierà una potente arma di negoziazione al presidente, che si era detto sicuro di una vittoria davanti alla Corte Suprema, nelle trattative con i democratici sull'immigrazione.

Casa Bianca smentisce: nessuna trattativa è stata cancellata con la Cina

Secondo l'FT, saltati incontri in questa settimana in vista di quello che secondo Larry Kudlow conta più di tutti: quello con il vice premier cinese
AP

Larry Kudlow, il consigliere economico della Casa Bianca, ha negato indiscrezioni di stampa secondo cui gli Stati Uniti hanno cancellato un incontro con la Cina pensato per spianare la strada al prossimo round di negoziati di alto livello previsto a Washington tra i negoziatori delle due nazioni il 30 e il 31 gennaio prossimo.

"Il Buffett di Boston" preoccupa i leader riuniti a Davos

Seth Klarman, a capo di Baupost Group (uno degli hedge fund più grandi al mondo), non esclude una crisi che si manifesterà con disordini sociali e non solo con sell-off dei mercati

Un investitore miliardario - conosciuto negli Stati Uniti per essere l'equivalente di Boston del cosiddetto Oracolo di Omaha, ossia Warren Buffett - ha messo in guardia gli investitori "compiaciuti" che stanno ignorando i rischi esistenti prendendone di nuovi. Seth Klarman, a capo di Baupost Group (uno degli hedge fund più grandi al mondo), ha lanciato il suo avvertimento nella lettera annuale da 22 pagine scritta agli investitori e di cui il New York Times ha ottenuto una copia.

Procter & Gamble ha chiuso un trimestre con utili superiori alle stime e vendite organiche forti, cosa che ha spinto il colosso dei beni al consumo ad alzare il suo outlook.