GDPR: cosa le aziende non Ue devono sapere

In Europa, il 25 maggio di quest’anno, è divenuto efficace il nuovo Regolamento Generale sulla Protezione dei Dati 679/2016, noto come GDPR. La nuova normativa ha dato vita ad una corsa all’adeguamento per la maggior parte delle società europee, e non solo.

Il Regolamento non colpisce esclusivamente le società che operano in Europa e si trovano fisicamente nel Vecchio Continente, ma riguarda tutte le aziende che trattano dati personali appartenenti a cittadini europei, come molte negli Stati Uniti.

Il GDPR fa parte delle iniziative legislative sorte in seno alla strategia del Digital Single Market voluta dalla Commissione Juncker e ha sostituito la precedente Direttiva 95/46/CE sulla protezione dei dati e le normative nazionali correlate.

La nuova disciplina ha come filo rosso un maggior controllo da parte dei cittadini sui propri dati personali, grazie a obblighi informativi e di trasparenza in capo alle imprese, all’introduzione di nuovi diritti come il diritto alla portabilità, nonché una maggiore enfasi posta sul consenso al trattamento.

L’aspetto che spaventa le imprese è senza dubbio rappresentato dalle sanzioni poste dal GDPR, che in casi particolari possono raggiungere i 10 milioni di euro o una cifra che si aggira tra il 2% e il 4% del fatturato annuo mondiale.

Le società che trattano dati personali, che nell’era digitale sono la grande maggioranza, avrebbero dovuto adeguarsi ai nuovi obblighi entro fine maggio. La realtà è tuttavia differente, dato che molte aziende ci stanno ancora lavorando, avendo iniziato il processo di compliance in ritardo.

Per comprendere come il Regolamento influisca sulle società statunitensi mi sono rivolto a una specialista del settore, Lucrezia Berto, laureata in giurisprudenza all’Università Commerciale Luigi Bocconi di Milano, dove ha poi frequentato l’LL.M. in Law of Internet Technology specializzandosi in data protection. Attualmente, Lucrezia si occupa di protezione dei dati in uno studio legale in Spagna, a Barcellona, e scrive per una rivista giuridica online sempre in materia di data protection.

In che modo il Regolamento coinvolge società che si trovano al di fuori dell’Unione Europea?

Il Regolamento ha un ambito applicativo esteso, difatti deve essere applicato da tutte le società che trattano, nel senso tecnico del termine, dati personali di cittadini europei che si trovano in Europa. A osservare bene, coinvolge molte più aziende di quanto si possa pensare. Considerando che, tecnicamente, costituisce ‘trattamento di dati’ qualsiasi operazione di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di tali dati personali, praticamente ogni società che, per qualche motivo, abbia rapporti con l’Ue, deve per forza applicarlo. Non si tratta solo delle società che hanno anche una sede fisica nella Ue, o dei colossi come Facebook, Google e Microsoft, ma anche società dalle dimensioni più contenute che, ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. In aggiunta, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.

Quindi non sono coinvolte solo grandi multinazionali, ma anche piccole e medie imprese?

Sicuramente il livello di coinvolgimento è differente; difatti si differenziano per quantità di dati trattati e, dunque, di rischi a cui sono soggetti. Tuttavia, anche le Pmi devono adattarsi al GDPR, qualora trattino dati personali di cittadini Ue.

Se in Europa la piena conformità al Regolamento è ancora lontana, c’è da aspettarsi che negli Stati Uniti ci sia ancor più confusione sia sui tempi sia sulle modalità per adeguarsi alla nuova normativa sulla privacy europea.

La rivista Forbes, a fine marzo, riportava che solo il 21% delle aziende americane aveva un piano per il GDPR. A tre mesi di distanza la situazione potrà essere forse migliorata, ma temo che non si sia raggiunta una percentuale prossima al 100%, anche alla luce del report di Gartner, in cui si prevede che entro fine del 2018 le società, siano esse europee o americane, fully GDPR compliant saranno meno del 50%.

Quali sono i passi che le aziende non europee devono compiere per capire se siano coinvolte dal GDPR e in che misura?

Innanzitutto determinare se, tra i dati personali trattati dall’azienda, ci sono dati di cittadini europei. Può sembrare un elemento banale, ma non si tratta sempre di un’analisi semplice, dato il potenziale elevato numero di dati che ogni azienda tratta, e con finalità differenti.

È necessario poi comprendere quale sia il ruolo dell’azienda, o meglio, comprendere se l’azienda assume il ruolo di data controller (in italiano, titolare del trattamento), o data processor (responsabile del trattamento). Difatti, il Regolamento impone obblighi specifici in capo alle due differenti figure, dando rilievo a due fondamentali tipi di rapporto con il trattamento dei dati: mentre il titolare ne determina finalità e mezzi, il responsabile è invece l’entità che tratta i dati per conto del titolare.

Ciascuna azienda poi ha le proprie peculiarità che devono essere vagliate da un avvocato specializzato in data protection, affinché si proceda nel modo più corretto. In generale, però, i punti chiave sono il consenso al trattamento dei dati e la notifica in caso di data breach. Il consenso, infatti, deve essere liberamente fornito dall’interessato (in inglese, data subject) in modo chiaro, esplicito e informato. In caso di data breach, inoltre, è necessario darne comunicazione alla autorità di controllo entro 72 ore.

Tuttavia adattarsi al GDPR non si limita a questo e, per essere certi di muoversi nella direzione giusta, è necessario rivolgersi ad un professionista.

La protezione dei dati oggi è di fondamentale importanza, non solo in Europa, e Prager Metis da sempre pone al primo posto la tutela dei dati personali dei suoi clienti. Con la creazione di Prager Metis Technology, in aggiunta, fornisce servizi di Cybersecurity e Risk Intelligence, dimostrando di essere sempre al passo con le nuove necessità del mondo digitale.

Per qualsiasi domanda, potete contattarmi al mio indirizzo email: afantozzi@pragermetis.com

Altri Servizi

Elezioni Usa, vittoria democratica più netta a una settimana dal voto

Il conteggio va avanti ed è sempre più favorevole ai democratici. Il Congresso diviso, però, sarà un'arma in più per il presidente Trump
Ap

Non è stata un'onda blu, ma a una settimana dalle elezioni di metà mandato negli Stati Uniti (qui il pezzo sui risultati parziali; questo il commento, il giorno dopo), i contorni del risultato dei democratici si fanno più nitidi, mentre si continuano a contare i voti ed emergono i vincitori.

Amazon

Dopo le indiscrezioni, sono arrivate le conferme. Amazon ha scelto di dividere tra due città il suo secondo quartier generale. Dopo quello di Seattle (nello Stato di Washington) il colosso americano del commercio elettronico investirà 5 miliardi di dollari creando oltre 50mila posti di lavoro tra New York City (a Long Island City, la località del Queens separata da Manhattan dall'East River) e Arlington (Virginia).

Wall Street, pesa la volatilità del petrolio

Attesa per il dato sull'inflazione
iStock

Elezioni di Midterm, in Florida si ricontano i voti

Ancora in bilico le sfide per le nomine del governatore e al Senato

A oltre quattro giorni dalla chiusura dei seggi in Florida e dopo le accuse reciproche di frode tra democratici e repubblicani è stato ordinato un riconteggio dei voti. La decisione è stata presa dal segretario di stato della Florida, Ken Detzner, quando nel Sunshine State l’assegnazione della poltrona da senatore e la carica di governatore sono ancora in ballo con margini davvero ristretti tra i vari candidati.

California, sale a 25 il bilancio dei morti oltre 250mila persone evacuate

Quasi 7000 le abitazioni distrutte mentre i roghi continuano a minacciare l'area di Malibù

È salito a 25 il bilancio dei morti in California a causa degli incendi che da giorni stanno mettendo in ginocchio il "Golden State". Il tutto mentre le fiamme continuano a minacciare l’area intorno alla capitale dello stato, Sacramento. Come riporta Bbc, ai nove morti degli scori giorni si sono aggiunte altre 14 persone i cui corpi sono stati trovati a Paradise, cittadina nel nord dello Stato, mentre altre due persone sono state trovate senza vita nell’area di Malibù.

"Presidential Medal of Freedom", Trump nomina Elvis, Babe Ruth e Antonin Scalia

Si tratta della più alta onorificenza civile che un presidente Usa può assegnare. Assieme a loro anche altre quattro personalità

Il prossimo 16 novembre Donald Trump conferirà a sette persone la "Presidential Medal Freedom" la più alta onorificenza civile che un presidente degli Stati Uniti può assegnare a un cittadino americano. Tra le sette personalità che verranno insignite quest’anno ci sono quattro assegnazioni postume: il Re del Rock’n Roll Elvis Presley, il campione di baseball e icona dello sport americano, Babe Ruth, conosciuto come "The Great Bambino", il celebre giudice della Corte Suprema, Antonin Scalia, scomparso due anni fa, e Miriam Adelson, moglie del miliardario Sheldon, finanziatori del partito repubblicano.

Afghanistan, anno record per bombe lanciate dagli Usa

Tra gennaio e settembre, lanciati 5.213 ordigni; superato il record di 5.101 del 2010. Con Tump, cambiate le regole d'ingaggio

Gli Stati Uniti non hanno mai lanciato così tante bombe sull'Afghanistan com nel 2018. È quanto emerge dai dati resi noti dallo U.S. Air Forces Central Command, ripresi da Forbes. Diciassette anni dopo la presa di Kabul da parte delle forze statunitensi e alleate, metà dell'Afghanistan è sotto il controllo dei talebani e la guerra è ancora lontana da una conclusione, con 14.000 soldati statunitensi ancora nel Paese.

Levi's vuole riportare i suoi jeans in borsa

Ipo attesa all'inizio del 2019. Il gruppo punta a una valutazione di 5 miliardi di dollari

Il produttore dei primi blue jeans sta per sbarcare in borsa. Levi Strauss & Co (Levi's) punta a raccogliere tra i 600 miliardi di dollari e gli 800 miliardi attraverso una Ipo che valuterebbe l'azienda fino a 5 miliardi di dollari. Lo riferisce Cnbc citando alcune fonti secondo cui la quotazione è prevista nel primo trimestre del 2019.

Dopo Parigi Trump tornerà in Usa, improbabile che sia a conferenza su Libia

Il premier Conte, a fine luglio, aveva incassato dal presidente Usa il ricnoscimento della leadership dell'Italia nella stabilizzazione della nazione africana
AP

Il presidente americano, Donald Trump, sabato e domenica prossimi sarà a Parigi per partecipare alle celebrazioni del centesimo anniversario dell'armistizio che ha messo fine alla Prima guerra mondiale. Già domenica il leader Usa rientrerà negli Stati Uniti, proprio alla vigilia della conferenza internazionale sulla Libia di Palermo, a cui dunque non dovrebbe partecipare.