Il Regolamento generale sulla protezione dei dati dell'UE non si ferma ai confini dell'Europa. Se la tua impresa ha sede fuori dall'UE ma vende beni o servizi a persone in Europa, il GDPR può applicarsi a te in pieno — anche se non hai uffici, personale o server in nessun punto del blocco. La parte difficile per le aziende straniere è di solito rendersi conto di esservi soggette e poi capire come appare concretamente la conformità nella pratica.
Che tu gestisca un negozio online, una piattaforma software, un'agenzia di marketing o un servizio in abbonamento, dal momento in cui raggiungi deliberatamente clienti nell'UE puoi assumerti una serie di obblighi giuridici poco familiari e rigorosamente fatti rispettare. Regole e valori cambiano nel tempo, quindi consideralo un quadro generale piuttosto che una consulenza sulla tua situazione.
Il GDPR si applica alla mia impresa?
Il GDPR può raggiungere un'impresa stabilita fuori dall'UE principalmente in due modi, e ne basta uno solo per esservi soggetti. Il primo è quando offri beni o servizi a persone che si trovano nell'UE, indipendentemente dal fatto che le faccia pagare. Il secondo è quando monitori il comportamento di persone nell'UE, ad esempio attraverso tracciamento, profilazione o analisi legate alla loro attività online.
Il semplice fatto di avere un sito web raggiungibile dagli europei non è di per sé sufficiente. Ciò che conta è se stai deliberatamente puntando al mercato dell'UE. Tra gli indizi che lo dimostrano vi sono:
- Offrire i tuoi prezzi in euro o in un'altra valuta dell'UE.
- Fornire il tuo sito o i tuoi contenuti in una lingua dell'UE non usata nel tuo paese d'origine.
- Menzionare clienti dell'UE, spedire verso paesi dell'UE o utilizzare un dominio di primo livello dell'UE.
- Svolgere attività di marketing o pubblicità rivolte a persone in specifici Stati membri dell'UE.
Se qualcosa di tutto ciò descrive la tua impresa, presumi che il GDPR rientri nell'ambito di applicazione e tratta di conseguenza i dati personali dei tuoi clienti dell'UE. Ciò che conta è il luogo in cui si trova la persona di cui tratti i dati — non la sua nazionalità, né il luogo in cui la tua società risulta costituita.
Gli obblighi fondamentali che ti assumi
Il GDPR si fonda su una serie di principi che si applicano a tutto ciò che fai con i dati personali: devi avere una base giuridica per trattarli, usarli solo per finalità chiare e circoscritte, mantenerli esatti, conservarne non più del necessario, trattenerli non più a lungo del necessario e tenerli al sicuro. Questi principi suonano astratti, ma si traducono in doveri concreti.
- Una base giuridica per ogni attività, come il consenso, l'esecuzione di un contratto o un legittimo interesse che puoi documentare.
- Informazioni chiare sulla privacy che dicano alle persone chi sei, quali dati raccogli, perché, per quanto tempo li conservi e con chi li condividi.
- Un consenso valido laddove vi fai affidamento — liberamente prestato, specifico e revocabile con la stessa facilità con cui è stato concesso, cosa che conta soprattutto per il marketing e per molti cookie.
- Il rispetto dei diritti individuali, tra cui accesso, rettifica, cancellazione, portabilità e opposizione, di norma entro un termine prestabilito.
- Misure di sicurezza adeguate e una procedura per gestire le violazioni dei dati personali, compresa la notifica alle autorità e agli interessati ove richiesto.
Ti si chiede inoltre di tenere un registro delle attività di trattamento e, per i trattamenti a maggior rischio, di svolgere una valutazione d'impatto sulla protezione dei dati prima di iniziare. Quando le tue attività principali comportano trattamenti su larga scala o di dati sensibili, potresti dover nominare un responsabile della protezione dei dati.
La nomina di un rappresentante nell'UE
Un requisito coglie di sorpresa molte imprese straniere. Se il GDPR ti si applica e non hai uno stabilimento nell'UE, in genere devi designare per iscritto un rappresentante nell'UE — una persona o una società con sede in uno Stato membro in cui si trovano alcuni dei tuoi clienti interessati. Questo rappresentante funge da punto di contatto locale per gli individui e per le autorità di protezione dei dati, e i suoi dati devono comparire nella tua informativa sulla privacy.
Esistono esenzioni limitate, ad esempio quando il tuo trattamento è solo occasionale e a basso rischio, ma sono più ristrette di quanto si pensi. Nominare un rappresentante non elimina la tua responsabilità giuridica — resti pienamente responsabile — ma omettere di nominarne uno quando è richiesto è di per sé una violazione su cui le autorità possono intervenire.
Il trasferimento di dati al di fuori dell'UE
Per un'impresa extra-UE, inviare dati personali dall'Europa al proprio paese d'origine è un trasferimento che il GDPR regola con attenzione. Non puoi semplicemente spostare i dati dove vuoi. Se il tuo paese è stato formalmente riconosciuto dall'UE come dotato di un adeguato livello di protezione, i trasferimenti possono fluire più liberamente. In caso contrario, in genere ti serve una garanzia approvata prima che qualsiasi dato lasci l'UE.
- Le clausole contrattuali tipo, lo strumento più comune, sono modelli contrattuali approvati dall'UE che vincolano le parti a proteggere i dati.
- Le norme vincolanti d'impresa, per i trasferimenti all'interno di un gruppo di società, soggette all'approvazione dell'autorità di controllo.
- Un insieme limitato di deroghe specifiche per i trasferimenti occasionali, su cui non si dovrebbe fare affidamento come soluzione di routine.
Sempre più spesso ti si chiede inoltre di valutare le leggi del paese di destinazione e di aggiungere ulteriori misure tecniche o organizzative laddove le norme locali potrebbero compromettere la protezione che i dati dovrebbero avere. È un ambito tecnico che si evolve con l'emergere di nuove decisioni e quadri normativi, quindi verifica la situazione vigente prima di progettare i tuoi flussi di dati.
Cosa succede se sbagli
Il GDPR viene preso sul serio perché le conseguenze sono reali. Le autorità di controllo di ciascuno Stato membro possono indagare, ordinarti di modificare o interrompere il trattamento e imporre sanzioni amministrative significative calcolate in riferimento al tuo fatturato mondiale, con la fascia più alta riservata alle violazioni più gravi. Anche gli individui possono avanzare richieste di risarcimento, e le associazioni dei consumatori o per la privacy agiscono sempre più spesso per loro conto.
Al di là delle sanzioni, contano anche le ricadute pratiche: danno reputazionale, perdita di fiducia dei clienti e il costo di ricostruire i sistemi sotto la vigilanza dell'autorità. Per un'azienda straniera, un'azione esecutiva nell'UE può anche compromettere i rapporti con i fornitori di servizi di pagamento, le piattaforme e i partner europei da cui dipendi per raggiungere il mercato in primo luogo.
Primi passi pratici
Se sospetti che il GDPR ti si applichi, un approccio strutturato è molto meno scoraggiante che reagire a un reclamo dopo i fatti. L'obiettivo è sapere quali dati detieni, perché li detieni e se ogni fase del loro trattamento può essere giustificata.
- Mappa i tuoi dati. Stabilisci quali dati personali raccogli dalle persone nell'UE, da dove provengono, dove vanno e chi può vederli.
- Verifica la tua base giuridica per ciascuna attività e affina le tue pratiche di consenso e di marketing laddove vi fai affidamento.
- Pubblica un'informativa sulla privacy chiara e predisponi una procedura semplice per gestire le richieste di esercizio dei diritti individuali e le violazioni.
- Sistema gli aspetti transfrontalieri — il tuo rappresentante nell'UE, se richiesto, e un valido meccanismo di trasferimento per i dati che lasciano l'UE.
Poiché il GDPR interagisce con le distinte leggi nazionali dei singoli Stati membri, e con le regole sui cookie e sul marketing elettronico, la risposta corretta dipende spesso esattamente da quali paesi servi e in che modo.
Farlo nel modo giusto
Il GDPR conferisce agli europei diritti forti e azionabili sui propri dati personali, e quei diritti li seguono presso chiunque tratti le loro informazioni — compresa un'impresa dall'altra parte del mondo. I principi sono stabili, ma i dettagli, le soglie e le regole sui trasferimenti cambiano nel tempo, e le sanzioni per gli errori possono essere severe. Poiché molto dipende da come punti al mercato dell'UE, da quali dati tratti e da dove fluiscono, il passo più sicuro quando è in gioco qualcosa di importante è parlare con un avvocato esperto di protezione dei dati qualificato, che possa esaminare la tua situazione e confermare le regole vigenti prima che tu decida come procedere.