Come influirà il GDPR sulle aziende non europee?

Come influirà il GDPR sulle aziende non europee?

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea entrerà in vigore in meno di un anno. Tale regolamento, che sostituisce la Direttiva europea sulla protezione dei dati del 1995, apporta modifiche al modo in cui vengono gestiti ed elaborati i dati nella UE. Include sanzioni fino a un massimo di 20 milioni di euro o il 4% del volume d'affari globale annuale per le aziende non conformi.

Il GDPR riguarderà le aziende che operano all'interno della UE. Ci sono però degli interrogativi sulle aziende che operano all'esterno dell'Unione: ad esempio, cosa significherà esattamente tale regolamento per le aziende con sede negli Stati Uniti? E il Regno Unito dovrà aderire al GDPR dopo la Brexit?

La risposta breve è che il regolamento influirà sulle aziende sia all'interno che all'esterno della UE. Infatti, qualsiasi azienda che avrà a che fare con i dati di aziende, residenti o cittadini della UE dovrà conformarsi al GDPR.

Secondo Jamal Elmellas, Responsabile tecnologie (CTO) presso Auriga Consulting, la norma indica che a tutte le organizzazioni che gestiscono tali dati verrà richiesto di conformarsi, indipendentemente dalla giurisdizione.

Partendo da queste considerazioni, fornisce il seguente consiglio: "Le organizzazioni esterne all'Europa devono prima determinare se stanno svolgendo attività, o intendono svolgerle, all'interno della regione. Una volta risposto a questa domanda, la successiva fase consisterà nell'esaminare il modello aziendale previsto per comprendere se vengono gestiti dati dei cittadini e, in caso affermativo, di quali tipi di dati si tratti".

Questa fase richiede un'attenta considerazione: anche se un'azienda non ha una presenza europea, sarà necessario che comprenda l'impatto del GDPR nel caso in cui vengano elaborati dati personali di residenti UE in connessione a beni e servizi offerti a tali persone, afferma Saurabh Ghelani, esperto di protezione dati e GDPR presso PA Consulting Group.

Per Ghelani, un altro fattore che potrebbe influenzare la necessità per un'azienda di raggiungere la conformità con il GDPR è capire se monitora il comportamento degli individui all'interno della UE.

Le norme del GDPR definiscono questa circostanza come la circostanza in cui "gli individui vengono monitorati in internet". Ciò include l'uso potenziale di tecniche di profilatura per prendere decisioni sui dati, oppure per analizzare o prevedere preferenze, comportamenti e attitudini personali.

Un altro aspetto che potrebbe non essere ovvio, avvisa Ghelani, è che il GDPR verrà applicato a soggetti non europei di elaborazione dati. Ciò include provider di servizi cloud che archiviano o offrono l'hosting delle informazioni personali di soggetti di dati UE.

Pertanto l'aggiornamento al regolamento della protezione dati riguarderà anche i confini esterni all'Unione Europea. Come affermato dagli esperti, sono diversi i fattori che influiscono sul fatto che le aziende non UE debbano o meno conformarsi alle regole. Ma in un mondo sempre più digitale, la maggior parte delle grandi aziende ha a che fare con dati UE di qualche forma o formato.

Inoltre, poiché le aziende non hanno molto tempo per assicurare la conformità con l'aggiornamento, che entrerà in vigore nel maggio 2018, cosa dovrebbero fare adesso?

Molte aziende non saranno pienamente conformi alla scadenza. Ma secondo Mark Taylor, partner dello studio legale Osborne Clarke, è importante iniziare a porre le basi adesso. Egli consiglia infatti di "far crescere la consapevolezza internamente e far partecipare le parti interessate principali". "Come parte di questo processo, è importante capire come vengono attualmente elaborati i dati di coloro che risiedono all'esterno della UE".

Proprietà dei dati Team legali Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond