GDPR: cosa le aziende non Ue devono sapere

In Europa, il 25 maggio di quest’anno, è divenuto efficace il nuovo Regolamento Generale sulla Protezione dei Dati 679/2016, noto come GDPR. La nuova normativa ha dato vita ad una corsa all’adeguamento per la maggior parte delle società europee, e non solo.

Il Regolamento non colpisce esclusivamente le società che operano in Europa e si trovano fisicamente nel Vecchio Continente, ma riguarda tutte le aziende che trattano dati personali appartenenti a cittadini europei, come molte negli Stati Uniti.

Il GDPR fa parte delle iniziative legislative sorte in seno alla strategia del Digital Single Market voluta dalla Commissione Juncker e ha sostituito la precedente Direttiva 95/46/CE sulla protezione dei dati e le normative nazionali correlate.

La nuova disciplina ha come filo rosso un maggior controllo da parte dei cittadini sui propri dati personali, grazie a obblighi informativi e di trasparenza in capo alle imprese, all’introduzione di nuovi diritti come il diritto alla portabilità, nonché una maggiore enfasi posta sul consenso al trattamento.

L’aspetto che spaventa le imprese è senza dubbio rappresentato dalle sanzioni poste dal GDPR, che in casi particolari possono raggiungere i 10 milioni di euro o una cifra che si aggira tra il 2% e il 4% del fatturato annuo mondiale.

Le società che trattano dati personali, che nell’era digitale sono la grande maggioranza, avrebbero dovuto adeguarsi ai nuovi obblighi entro fine maggio. La realtà è tuttavia differente, dato che molte aziende ci stanno ancora lavorando, avendo iniziato il processo di compliance in ritardo.

Per comprendere come il Regolamento influisca sulle società statunitensi mi sono rivolto a una specialista del settore, Lucrezia Berto, laureata in giurisprudenza all’Università Commerciale Luigi Bocconi di Milano, dove ha poi frequentato l’LL.M. in Law of Internet Technology specializzandosi in data protection. Attualmente, Lucrezia si occupa di protezione dei dati in uno studio legale in Spagna, a Barcellona, e scrive per una rivista giuridica online sempre in materia di data protection.

In che modo il Regolamento coinvolge società che si trovano al di fuori dell’Unione Europea?

Il Regolamento ha un ambito applicativo esteso, difatti deve essere applicato da tutte le società che trattano, nel senso tecnico del termine, dati personali di cittadini europei che si trovano in Europa. A osservare bene, coinvolge molte più aziende di quanto si possa pensare. Considerando che, tecnicamente, costituisce ‘trattamento di dati’ qualsiasi operazione di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di tali dati personali, praticamente ogni società che, per qualche motivo, abbia rapporti con l’Ue, deve per forza applicarlo. Non si tratta solo delle società che hanno anche una sede fisica nella Ue, o dei colossi come Facebook, Google e Microsoft, ma anche società dalle dimensioni più contenute che, ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. In aggiunta, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.

Quindi non sono coinvolte solo grandi multinazionali, ma anche piccole e medie imprese?

Sicuramente il livello di coinvolgimento è differente; difatti si differenziano per quantità di dati trattati e, dunque, di rischi a cui sono soggetti. Tuttavia, anche le Pmi devono adattarsi al GDPR, qualora trattino dati personali di cittadini Ue.

Se in Europa la piena conformità al Regolamento è ancora lontana, c’è da aspettarsi che negli Stati Uniti ci sia ancor più confusione sia sui tempi sia sulle modalità per adeguarsi alla nuova normativa sulla privacy europea.

La rivista Forbes, a fine marzo, riportava che solo il 21% delle aziende americane aveva un piano per il GDPR. A tre mesi di distanza la situazione potrà essere forse migliorata, ma temo che non si sia raggiunta una percentuale prossima al 100%, anche alla luce del report di Gartner, in cui si prevede che entro fine del 2018 le società, siano esse europee o americane, fully GDPR compliant saranno meno del 50%.

Quali sono i passi che le aziende non europee devono compiere per capire se siano coinvolte dal GDPR e in che misura?

Innanzitutto determinare se, tra i dati personali trattati dall’azienda, ci sono dati di cittadini europei. Può sembrare un elemento banale, ma non si tratta sempre di un’analisi semplice, dato il potenziale elevato numero di dati che ogni azienda tratta, e con finalità differenti.

È necessario poi comprendere quale sia il ruolo dell’azienda, o meglio, comprendere se l’azienda assume il ruolo di data controller (in italiano, titolare del trattamento), o data processor (responsabile del trattamento). Difatti, il Regolamento impone obblighi specifici in capo alle due differenti figure, dando rilievo a due fondamentali tipi di rapporto con il trattamento dei dati: mentre il titolare ne determina finalità e mezzi, il responsabile è invece l’entità che tratta i dati per conto del titolare.

Ciascuna azienda poi ha le proprie peculiarità che devono essere vagliate da un avvocato specializzato in data protection, affinché si proceda nel modo più corretto. In generale, però, i punti chiave sono il consenso al trattamento dei dati e la notifica in caso di data breach. Il consenso, infatti, deve essere liberamente fornito dall’interessato (in inglese, data subject) in modo chiaro, esplicito e informato. In caso di data breach, inoltre, è necessario darne comunicazione alla autorità di controllo entro 72 ore.

Tuttavia adattarsi al GDPR non si limita a questo e, per essere certi di muoversi nella direzione giusta, è necessario rivolgersi ad un professionista.

La protezione dei dati oggi è di fondamentale importanza, non solo in Europa, e Prager Metis da sempre pone al primo posto la tutela dei dati personali dei suoi clienti. Con la creazione di Prager Metis Technology, in aggiunta, fornisce servizi di Cybersecurity e Risk Intelligence, dimostrando di essere sempre al passo con le nuove necessità del mondo digitale.

Per qualsiasi domanda, potete contattarmi al mio indirizzo email: afantozzi@pragermetis.com

Altri Servizi

Mueller: nessuna collusione con la Russia. Trump esulta

Prove insufficienti per dimostrare il contrario ma il procuratore speciale non esclude che il presidente abbia ostacolato il corso della giustizia. E' il segretario alla Giustizia a determinare che non ha commesso alcun crimine

Tra la campagna di Donald Trump e la Russia non c'è stata collusione. E' questa la conclusione a cui è giunto Robert Mueller, il procuratore speciale che venerdì 22 marzo aveva concluso dopo 22 mesi la sua inchiesta sul cosiddetto Russiagate. Se lui non si è sentito di escludere che Trump abbia ostacolato il corso della giustizia, è stato il segretario della Giustizia ad avere deciso che su questo il 45esimo presidente non si è macchiato di alcun crimine. E così la Casa Bianca ha subito festeggiato sostenendo che il leader Usa è stato "totalmente" assolto. 

Wall Street corre con i tech guidati da Apple

Incertezze sui negoziati Usa-Cina. Si digeriscono i segnali misti giunti dalla Fed
iStock

Fca: Elkann aperto a un merger (FT)

Il produttore italo-americano di auto avrebbe avuto contatti non solo con la francese Peugeot ma anche con gruppi cinesi e coreani
Fca

Il presidente di Fiat Chrysler Automobiles, John Elkann, sarebbe disposto a riaprire il capitolo dei merger. L'erede della famiglia Agnelli, azionista principale del produttore italo-americano di auto, vorrebbe diluire la partecipazione di Exor, la cassaforte di famiglia, in Fca se il gruppo unirà le forze con un'azienda rivale. E' il Financial Times a scriverlo, due giorni dopo indiscrezioni del Wall Street Journal secondo cui all'inizio del 2019 il francese PSA Group, che controlla il marchio Peugeot, aveva contatto Fca per un merger che avrebbe creato un gruppo da 45 miliardi di di dollari; stando al Wsj, proprio gli Agnelli sarebbero stati contrari.

Shutterstock

A febbraio, il deficit di bilancio negli Stati Uniti ha raggiunto un record superando quello di sette anni fa. E' il risultato di un aumento delle spese federali e di un calo delle entrate garantite dalle tasse versate da persone e aziende. Ciò riflette la politica fiscale espansiva voluta dall'amministrazione Trump, che prima del Natale 2017 approvò la maggiore riforma fiscale (con taglio delle aliquote) dagli anni '80.

Apple punta sui servizi con video, notizie e carta di credito

Oprah Winfrey, Steven Spielberg, J.J. Abrams e Jennifer Aniston tra le personalità reclutate per produrre contenuti orginali

Quasi tre mesi dopo avere annunciato un raro taglio delle stime sui ricavi, colpa della debolezza del suo iPhone, Apple punta sui servizi. Dal Steve Jobs Theatre a Cupertino, in California, il Ceo Tim Cook ha lanciato un nuovo servizio di notizie, un nuovo sistema di pagamento con carta di credito, un servizio di abbonamento per videogiochi, una app per l'Apple TV e TV+, il tanto atteso servizio di video in streaming su abbonamento. Con contenuti originali, il colosso tech sfida Netflix, Amazon ma anche Walt Disney.

Levi Strauss torna in borsa e fa il botto

Per un giorno il Nyse fa uno strappo alla regola e consente l'uso dei jeans ai trader che popolano il floor del Nyse

Ritorno in borsa con il botto per Levi Strauss. Il titolo del produttore di jeans -  già quotato nel 1971 e poi delistato nel 1984 - ha iniziato gli scambi a 22,22 dollari, in rialzo del 30,7% sul prezzo di collocamento fissato il giorno precedente a 17 dollari. Già quello era stato un segnale della forte domanda degli investitori, visto che la forchetta precedentemente indicata era pari a 14-16 dollari. La sua prima giornata di scambi è finita in aumento di quasi il 32% a 22,41 dollari.

Russiagate: il rapporto di Mueller resta (almeno per ora) top secret

Trump stranamente silenzioso. I suoi supporter pronti a festeggiare l'assenza di nuove incriminazioni. I Dem premono per la pubblicazione del documento
Da sinistra, Robert Mueller e Adam Schiff AP

Non prima di domenica. Il contenuto del rapporto consegnato venerdì 22 marzo da Robert Mueller al segretario alla Giustizia resterà top secret almeno per un altro giorno.

Enron: dopo la truffa, l'ex Ceo lascia il carcere e ci riprova

Secondo fonti del Wall Street Journal, Jeffrey Skilling sta discutendo con ex colleghi una nuova impresa nel settore energetico
AP

Dopo oltre 12 anni di carcere, l'uomo al centro di uno dei più grandi scandali della storia aziendale americana intende tornare a mettere piede nel settore in cui è diventato simbolo di una bancarotta fraudolenta: quello energetico. L'ex Ceo di Enron, Jeffrey Skilling, ha lasciato la prigione dopo essere stato incriminato nel 2006 per frode, cospirazione e insider trading. E' sotto la sua guida che Enron è fallita nel giro di pochi mesi nel 2001 a causa di pratiche contabili tutt'altro che lecite che hanno messo fine alla società di revisione Arthur Andersen.