GDPR: cosa le aziende non Ue devono sapere

In Europa, il 25 maggio di quest’anno, è divenuto efficace il nuovo Regolamento Generale sulla Protezione dei Dati 679/2016, noto come GDPR. La nuova normativa ha dato vita ad una corsa all’adeguamento per la maggior parte delle società europee, e non solo.

Il Regolamento non colpisce esclusivamente le società che operano in Europa e si trovano fisicamente nel Vecchio Continente, ma riguarda tutte le aziende che trattano dati personali appartenenti a cittadini europei, come molte negli Stati Uniti.

Il GDPR fa parte delle iniziative legislative sorte in seno alla strategia del Digital Single Market voluta dalla Commissione Juncker e ha sostituito la precedente Direttiva 95/46/CE sulla protezione dei dati e le normative nazionali correlate.

La nuova disciplina ha come filo rosso un maggior controllo da parte dei cittadini sui propri dati personali, grazie a obblighi informativi e di trasparenza in capo alle imprese, all’introduzione di nuovi diritti come il diritto alla portabilità, nonché una maggiore enfasi posta sul consenso al trattamento.

L’aspetto che spaventa le imprese è senza dubbio rappresentato dalle sanzioni poste dal GDPR, che in casi particolari possono raggiungere i 10 milioni di euro o una cifra che si aggira tra il 2% e il 4% del fatturato annuo mondiale.

Le società che trattano dati personali, che nell’era digitale sono la grande maggioranza, avrebbero dovuto adeguarsi ai nuovi obblighi entro fine maggio. La realtà è tuttavia differente, dato che molte aziende ci stanno ancora lavorando, avendo iniziato il processo di compliance in ritardo.

Per comprendere come il Regolamento influisca sulle società statunitensi mi sono rivolto a una specialista del settore, Lucrezia Berto, laureata in giurisprudenza all’Università Commerciale Luigi Bocconi di Milano, dove ha poi frequentato l’LL.M. in Law of Internet Technology specializzandosi in data protection. Attualmente, Lucrezia si occupa di protezione dei dati in uno studio legale in Spagna, a Barcellona, e scrive per una rivista giuridica online sempre in materia di data protection.

In che modo il Regolamento coinvolge società che si trovano al di fuori dell’Unione Europea?

Il Regolamento ha un ambito applicativo esteso, difatti deve essere applicato da tutte le società che trattano, nel senso tecnico del termine, dati personali di cittadini europei che si trovano in Europa. A osservare bene, coinvolge molte più aziende di quanto si possa pensare. Considerando che, tecnicamente, costituisce ‘trattamento di dati’ qualsiasi operazione di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di tali dati personali, praticamente ogni società che, per qualche motivo, abbia rapporti con l’Ue, deve per forza applicarlo. Non si tratta solo delle società che hanno anche una sede fisica nella Ue, o dei colossi come Facebook, Google e Microsoft, ma anche società dalle dimensioni più contenute che, ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. In aggiunta, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.

Quindi non sono coinvolte solo grandi multinazionali, ma anche piccole e medie imprese?

Sicuramente il livello di coinvolgimento è differente; difatti si differenziano per quantità di dati trattati e, dunque, di rischi a cui sono soggetti. Tuttavia, anche le Pmi devono adattarsi al GDPR, qualora trattino dati personali di cittadini Ue.

Se in Europa la piena conformità al Regolamento è ancora lontana, c’è da aspettarsi che negli Stati Uniti ci sia ancor più confusione sia sui tempi sia sulle modalità per adeguarsi alla nuova normativa sulla privacy europea.

La rivista Forbes, a fine marzo, riportava che solo il 21% delle aziende americane aveva un piano per il GDPR. A tre mesi di distanza la situazione potrà essere forse migliorata, ma temo che non si sia raggiunta una percentuale prossima al 100%, anche alla luce del report di Gartner, in cui si prevede che entro fine del 2018 le società, siano esse europee o americane, fully GDPR compliant saranno meno del 50%.

Quali sono i passi che le aziende non europee devono compiere per capire se siano coinvolte dal GDPR e in che misura?

Innanzitutto determinare se, tra i dati personali trattati dall’azienda, ci sono dati di cittadini europei. Può sembrare un elemento banale, ma non si tratta sempre di un’analisi semplice, dato il potenziale elevato numero di dati che ogni azienda tratta, e con finalità differenti.

È necessario poi comprendere quale sia il ruolo dell’azienda, o meglio, comprendere se l’azienda assume il ruolo di data controller (in italiano, titolare del trattamento), o data processor (responsabile del trattamento). Difatti, il Regolamento impone obblighi specifici in capo alle due differenti figure, dando rilievo a due fondamentali tipi di rapporto con il trattamento dei dati: mentre il titolare ne determina finalità e mezzi, il responsabile è invece l’entità che tratta i dati per conto del titolare.

Ciascuna azienda poi ha le proprie peculiarità che devono essere vagliate da un avvocato specializzato in data protection, affinché si proceda nel modo più corretto. In generale, però, i punti chiave sono il consenso al trattamento dei dati e la notifica in caso di data breach. Il consenso, infatti, deve essere liberamente fornito dall’interessato (in inglese, data subject) in modo chiaro, esplicito e informato. In caso di data breach, inoltre, è necessario darne comunicazione alla autorità di controllo entro 72 ore.

Tuttavia adattarsi al GDPR non si limita a questo e, per essere certi di muoversi nella direzione giusta, è necessario rivolgersi ad un professionista.

La protezione dei dati oggi è di fondamentale importanza, non solo in Europa, e Prager Metis da sempre pone al primo posto la tutela dei dati personali dei suoi clienti. Con la creazione di Prager Metis Technology, in aggiunta, fornisce servizi di Cybersecurity e Risk Intelligence, dimostrando di essere sempre al passo con le nuove necessità del mondo digitale.

Per qualsiasi domanda, potete contattarmi al mio indirizzo email: afantozzi@pragermetis.com

Altri Servizi

Facebook patteggia con le autorità Usa, multa di 5 miliardi per violazione della privacy. I Dem: "Un regalo"

Sanzione per il caso Cambridge Analytica. Il titolo a Wall Street chiude in rialzo dell'1,81%
AP

Facebook ha patteggiato una multa di quasi 5 miliardi di dollari con le autorità statunitensi, in merito alle violazioni delle norme sulla privacy nel caso Cambridge Analytica. La Federal Trade Commission (Ftc), l'autorità che protegge i consumatori, ha votato a favore dell'accordo, secondo quanto riportato dal Wall Street Journal, dividendosi per linee partitiche, con i tre commissari repubblicani a favore e i due democratici contrari, perché avrebbero voluto un'intesa ancor più dura per la società di Mark Zuckerberg. Oltre alla multa, Facebook ha accettato una maggiore supervisione su come gestisce i dati degli utenti. La parola finale spetta al dipartimento di Giustizia, che solitamente non modifica una decisione presa dalla Ftc; l'approvazione è attesa nelle prossime settimane.

Trump attacca le deputate progressiste: "Tornino nei Paesi corrotti da dove sono venute"

Nel mirino Ocasio-Cortez, le musulmane Ilhan Omar e Rashida Tlaib e l'afroamericana Ayanna Pressley

In un weekend particolarmente teso negli Stati Uniti, dopo il via libera di Donald Trump ai raid contro i migranti irregolari, il presidente americano si è scagliato contro un gruppo di parlamentari progressiste appartenenti ad alcune minoranze etniche sempre più influenti all'interno del Partito Democratico.

Trump attacca la Fed: confusione dopo il discorso di Williams

Il mercato si domanda: taglio dei tassi di 50 o 25 punti base a fine mese?

Il presidente americano, Donald Trump, è intervenuto a gamba tesa nel dibattito partito ieri dopo alcune dichiarazioni fatte dal numero uno della Federal Reserve di New York, John Williams, che il mercato aveva interpretato così da "colomba" da essere arrivato a scommettere su un taglio dei tassi di ben 50 punti base nella riunione della banca centrale di fine mese. Poi però la Fed di New York si è sentita costretta a precisare che quanto detto da Williams - il terzo uomo più importante nel sistema della Fed - faceva parte di un "discorso accademico basato su 20 anni di ricerca. Non ha nulla a che fare con potenziali azioni di politica monetaria relative al prossimo meeting del Federal Open Market Committee" in calendario il 30 e 31 luglio.

Wall Street, timori su negoziati Usa-Cina

Dati in programma: richieste di sussidi di disoccupazione e superindice
AP

Microsoft ha archiviato il suo quarto trimestre fiscale con conti migliori delle stime grazie ancora una volta alla performance delle sue attività cloud simboleggiate da Azure, con cui l'azienda sfida Amazon (che resta il leader nel cloud computing). Il gruppo informatico guidato da Satya Nadella ha chiuso cosìun esercizio "record, risultato di partnership profonde con le principali aziende attive in tutti i settori". L'esercizio 2019 è finito con 39,2 miliardi di dollari di utili (+137%), merito di benefici fiscali per 2,6 miliardi; i ricavi hanno raggiunto i 125,8 miliardi (+14%).

Trump: abbiamo abbattuto un drone iraniano nello Stretto di Hormuz

Per il presidente Usa "stava minacciando la sicurezza di una nave americana e del suo equipaggio"
Ap

Il presidente americano, Donald Trump, ha detto che gli Stati Uniti hanno abbattuto un drone iraniano nello Stretto di Hormuz, nel Golfo Persico. Il Commander in Chief ha affermato che il velivolo senza conducente "stava minacciando la sicurezza di una nave americana e del suo equipaggio" da cui è presumibilmente partito il missile che ha abbattuto il drone.

Wall Street, fiducia su un possibile taglio dei tassi di 50 punti base

Gli analisti attendono la decisione della Fed alla fine del mese
AP

Wall Street, attesa per le trimestrali

Trimestrali di JP Morgan, Goldman Sachs e Wells Fargo
AP

Libra pericolosa "più dell'11 settembre": l'attacco di un deputato Usa

Il responsabile del progetto di Facebook, David Marcus, messo sotto torchio al Congresso per il secondo giorno di fila
Ap

La criptovaluta che Facebook vorrebbe lanciare nel 2020 continua ad alimentare dubbi tra i legislatori americani. Nella seconda giornata consecutiva di audizioni al Congresso Usa, un democratico della California ha sostenuto che Libra può fare danni maggiori degli attacchi terroristici che colpirono l'America l'11 settembre del 2001. Brad Sherman, membro della commissione Servizi finanziari della Camera, ha affermato: "Ci viene detto che l'innovazione è sempre positiva. La cosa più innovativa che è successa nel secolo in corso è stata quando [l'ex leader di al-Qaeda] Osama bin Laden ebbe l'idea innovativa di fare schiantare due aerei" contro le Torri Gemelle di New York. "Quella è stata l'innovazione più significativa, anche se questa [Libra] potrebbe mettere in pericolo l'America ancora di più".

Fmi: scelta per la Bce, Lagarde dà dimissioni, al via ricerca successore

Il d.g. ad interim resta per il momento David Lipton
World Bank

L'era Christine Lagarde al Fondo monetario internazionale è ufficialmente finita. L'ex ministro francese delle Finanze ha dato le sue dimissioni definitive dall'istituto di Washington che guidava dal 2011 e che lascerà il prossimo 12 settembre.