GDPR: cosa le aziende non Ue devono sapere

In Europa, il 25 maggio di quest’anno, è divenuto efficace il nuovo Regolamento Generale sulla Protezione dei Dati 679/2016, noto come GDPR. La nuova normativa ha dato vita ad una corsa all’adeguamento per la maggior parte delle società europee, e non solo.

Il Regolamento non colpisce esclusivamente le società che operano in Europa e si trovano fisicamente nel Vecchio Continente, ma riguarda tutte le aziende che trattano dati personali appartenenti a cittadini europei, come molte negli Stati Uniti.

Il GDPR fa parte delle iniziative legislative sorte in seno alla strategia del Digital Single Market voluta dalla Commissione Juncker e ha sostituito la precedente Direttiva 95/46/CE sulla protezione dei dati e le normative nazionali correlate.

La nuova disciplina ha come filo rosso un maggior controllo da parte dei cittadini sui propri dati personali, grazie a obblighi informativi e di trasparenza in capo alle imprese, all’introduzione di nuovi diritti come il diritto alla portabilità, nonché una maggiore enfasi posta sul consenso al trattamento.

L’aspetto che spaventa le imprese è senza dubbio rappresentato dalle sanzioni poste dal GDPR, che in casi particolari possono raggiungere i 10 milioni di euro o una cifra che si aggira tra il 2% e il 4% del fatturato annuo mondiale.

Le società che trattano dati personali, che nell’era digitale sono la grande maggioranza, avrebbero dovuto adeguarsi ai nuovi obblighi entro fine maggio. La realtà è tuttavia differente, dato che molte aziende ci stanno ancora lavorando, avendo iniziato il processo di compliance in ritardo.

Per comprendere come il Regolamento influisca sulle società statunitensi mi sono rivolto a una specialista del settore, Lucrezia Berto, laureata in giurisprudenza all’Università Commerciale Luigi Bocconi di Milano, dove ha poi frequentato l’LL.M. in Law of Internet Technology specializzandosi in data protection. Attualmente, Lucrezia si occupa di protezione dei dati in uno studio legale in Spagna, a Barcellona, e scrive per una rivista giuridica online sempre in materia di data protection.

In che modo il Regolamento coinvolge società che si trovano al di fuori dell’Unione Europea?

Il Regolamento ha un ambito applicativo esteso, difatti deve essere applicato da tutte le società che trattano, nel senso tecnico del termine, dati personali di cittadini europei che si trovano in Europa. A osservare bene, coinvolge molte più aziende di quanto si possa pensare. Considerando che, tecnicamente, costituisce ‘trattamento di dati’ qualsiasi operazione di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di tali dati personali, praticamente ogni società che, per qualche motivo, abbia rapporti con l’Ue, deve per forza applicarlo. Non si tratta solo delle società che hanno anche una sede fisica nella Ue, o dei colossi come Facebook, Google e Microsoft, ma anche società dalle dimensioni più contenute che, ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. In aggiunta, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.

Quindi non sono coinvolte solo grandi multinazionali, ma anche piccole e medie imprese?

Sicuramente il livello di coinvolgimento è differente; difatti si differenziano per quantità di dati trattati e, dunque, di rischi a cui sono soggetti. Tuttavia, anche le Pmi devono adattarsi al GDPR, qualora trattino dati personali di cittadini Ue.

Se in Europa la piena conformità al Regolamento è ancora lontana, c’è da aspettarsi che negli Stati Uniti ci sia ancor più confusione sia sui tempi sia sulle modalità per adeguarsi alla nuova normativa sulla privacy europea.

La rivista Forbes, a fine marzo, riportava che solo il 21% delle aziende americane aveva un piano per il GDPR. A tre mesi di distanza la situazione potrà essere forse migliorata, ma temo che non si sia raggiunta una percentuale prossima al 100%, anche alla luce del report di Gartner, in cui si prevede che entro fine del 2018 le società, siano esse europee o americane, fully GDPR compliant saranno meno del 50%.

Quali sono i passi che le aziende non europee devono compiere per capire se siano coinvolte dal GDPR e in che misura?

Innanzitutto determinare se, tra i dati personali trattati dall’azienda, ci sono dati di cittadini europei. Può sembrare un elemento banale, ma non si tratta sempre di un’analisi semplice, dato il potenziale elevato numero di dati che ogni azienda tratta, e con finalità differenti.

È necessario poi comprendere quale sia il ruolo dell’azienda, o meglio, comprendere se l’azienda assume il ruolo di data controller (in italiano, titolare del trattamento), o data processor (responsabile del trattamento). Difatti, il Regolamento impone obblighi specifici in capo alle due differenti figure, dando rilievo a due fondamentali tipi di rapporto con il trattamento dei dati: mentre il titolare ne determina finalità e mezzi, il responsabile è invece l’entità che tratta i dati per conto del titolare.

Ciascuna azienda poi ha le proprie peculiarità che devono essere vagliate da un avvocato specializzato in data protection, affinché si proceda nel modo più corretto. In generale, però, i punti chiave sono il consenso al trattamento dei dati e la notifica in caso di data breach. Il consenso, infatti, deve essere liberamente fornito dall’interessato (in inglese, data subject) in modo chiaro, esplicito e informato. In caso di data breach, inoltre, è necessario darne comunicazione alla autorità di controllo entro 72 ore.

Tuttavia adattarsi al GDPR non si limita a questo e, per essere certi di muoversi nella direzione giusta, è necessario rivolgersi ad un professionista.

La protezione dei dati oggi è di fondamentale importanza, non solo in Europa, e Prager Metis da sempre pone al primo posto la tutela dei dati personali dei suoi clienti. Con la creazione di Prager Metis Technology, in aggiunta, fornisce servizi di Cybersecurity e Risk Intelligence, dimostrando di essere sempre al passo con le nuove necessità del mondo digitale.

Per qualsiasi domanda, potete contattarmi al mio indirizzo email: afantozzi@pragermetis.com

Altri Servizi

Wall Street, attenzione rivolta ai dazi Usa-Cina in vigore da oggi

Il presidente Trump impregnato a New York per i primi impegni alle Nazioni Unite, in attesa del suo discorso, domani, all'Assemblea generale
iStock

Trump incontrerà Rosenstein giovedì. Dimissioni, licenziamento o tutto fermo fino alle elezioni?

Il vicesegretario alla Giustizia ha nominato il procuratore speciale Mueller e supervisiona le indagini sulle ingerenze di Mosca nel voto del 2016. Dopo voci contrastanti su dimissioni e licenziamento, la notizia dell'incontro
AP

Dimissioni o licenziamento. Per ora, i media statunitensi non concordano sul modo, ma a quanto pare solo sul risultato: Rod Rosenstein non sarà più il vicesegretario alla Giustizia statunitense. Ore dopo indiscrezioni contrastanti, è arrivata la notizia che il presidente degli Stati Uniti, Donald Trump, incontrerà Rosenstein, giovedì, a Washington. Lo ha reso noto la Casa Bianca. 

Trump sta con Kavanaugh: "Accuse totalmente politiche"

Il presidente sostiene il giudice nominato per la Corte Suprema

Le accuse contro il giudice Brett Kavanaugh sono "totalmente politiche". Lo ha detto il presidente degli Stati Uniti, Donald Trump, parlando dell'uomo da lui nominato per la Corte Suprema, accusato di tentato stupro da una donna e ora anche di molestie da un'altra donna.

Moavero da NY, pronto a difendere in Europa una manovra per favorire la crescita in Italia

Il ministro degli Esteri chiede alla Ue di fare di più su migranti e Libia. Descalzi (Eni) sulla manovra: "Tutti gli italiani stanno lavorando a livello istituzionale e di imprese per il bene del Paese"

L'idea del governo è di "fare una manovra per favorire la crescita del Paese" mantenendo "una traiettoria discendente del debito". Ne è convinto il ministro degli Esteri, Enzo Moavero Milanesi, escludendo che siano "mai state sollevate minacce al ministero dell'Economia" e chiedendo alla Ue un maggiore impegno sia in tema di migranti sia di Libia.

Trump alle Nazioni Unite: focus su Iran, commercio e sovranità

Il presidente Usa alla sua seconda apparizione al Palazzo di Vetro di New York, per la 73esima Assemblea generale. Lo scorso anno, minacciò di "distruggere totalmente" la Corea del Nord; ora si vanta dei nuovi rapporti con Pyongyang (con pochi risultati)
Ap

"Sarà la seduta del Consiglio di sicurezza delle Nazioni Unite più vista di tutti i tempi". Parola dell'ambasciatrice statunitense al Palazzo di Vetro, Nikki Haley, parlando di chi, di audience, certamente capisce: il presidente statunitense Donald Trump, che mercoledì presiederà la riunione del Consiglio, a rotazione tra i 15 membri e destinata, in concomitanza con la 73esima Assemblea generale delle Nazioni Unite a New York, proprio agli Stati Uniti. La riunione sarà dedicata alla non proliferazione e sarà l'occasione per attaccare l'Iran, denunciando il suo tentativo di destabilizzare il Medio Oriente.

Cresce la fiducia nell'economia in Usa, forte pessimismo in Italia. In Europa, prevale la nostalgia per il passato

Sono i dati dell'ultimo studio del Pew Research Center, a dieci anni da quella che Bernanke ha definito "la peggiore crisi della Storia"
Ap

Nel mondo, la gente ricomincia ad avere la fiducia che aveva nell'economia nazionale prima della grande recessione di dieci anni fa; notevoli, soprattutto, i miglioramenti registrati in Germania, Giappone, Russia e Stati Uniti, secondo l'ultimo studio del Pew Research Center. Nel complesso, però, non si può non sottolineare che continua a regnare un forte pessimismo per il futuro e che è molto diffusa la nostalgia per il passato, soprattutto in Europa.

Trump difende Kavanaugh ("difficile immaginare che sia successo qualcosa") e si augura che l'accusatrice parli

Il giudice nominato dal presidente alla Corte Suprema accusato di tentato stupro
AP

Il presidente statunitense, Donald Trump, ha detto che dovrà "prendere una decisione" sul futuro della nomina del giudice Brett Kavanaugh alla Corte Suprema, se la sua accusatrice, Christine Blasey Ford, darà "una testimonianza credibile". Sarebbe "meraviglioso" se si presentasse davanti alla commissione Giustizia del Senato, "spiacevole" se non lo facesse, ha aggiunto il presidente.

Comcast batte Fox all'asta: Sky è sua per 17,28 sterline ad azione (valutazione di 29,7 miliardi)

Dopo 21 mesi, si è conclusa la battaglia per il controllo della pay-tv britannica
Ap

Dopo una battaglia di 21 mesi, Sky ha battuto 21st Century Fox nello scontro per l'acquisizione di Sky. Il più grande operatore via cavo degli Stati Uniti ha prevalso nell'asta in tre round imposta dalle autorità britanniche per concludere l'affare riguardante la pay-tv.

La guerra di Trump contro gli immigrati poveri

L'amministrazione non vuole concedere visti provvisori e Green Card agli stranieri che ricevano, o potrebbero ricevere, aiuti statali: no al "carico pubblico". E ha già abbassato ai minimi storici il numero massimo di rifugiati da accogliere

L'amministrazione Trump vuole rendere più difficile l'arrivo di immigrati e la permanenza di quelli regolari che hanno ricevuto, o potrebbero ricevere - avendone diritto - dei sussidi statali, come i fondi per pagare l'affitto di una casa popolare, gli aiuti alimentari o il Medicaid, l'assistenza sanitaria per i poveri.

Caso Kavanaugh, Christine Blasey Ford ha accettato di testimoniare giovedì

La donna che ha accusato di tentato stupro il giudice nominato da Trump per la Corte Suprema parlerà davanti alla commissione Giustizia del Senato
Ap