Il GDPR si applica alle aziende al di fuori dell’UE?

Il GDPR è un quadro giuridico ideato dall’UE, entrato in vigore a maggio 2018. Progettato per fornire ai cittadini dell’UE un maggiore controllo sulla raccolta e l’utilizzo dei loro dati online, obbliga le aziende a rispettare una serie di principi e diritti alla privacy sanciti dal regolamento.

Questi includono la limitazione della raccolta dei dati agli scopi essenziali, l’archiviazione sicura dei dati e la garanzia che la raccolta dei dati sia lecita, equa e trasparente. I cittadini dell’UE devono inoltre acconsentire attivamente alla raccolta dei dati.

Il regolamento è arrivato a seguito di molteplici fughe di notizie di alto profilo da parte di grandi aziende. Ci sono state anche preoccupazioni per la privacy espresse dai cittadini dell’UE, che temevano che i loro dati personali venissero raccolti segretamente senza il loro consenso.

Ecco perché l’UE ha redatto il GDPR: attualmente, la legge sulla protezione dei dati più severa al mondo.

Come Internet è un’entità globale, lo è anche il GDPR. Facendo leva sul potere dell’UE, il GDPR legifera contro l’uso improprio dei dati appartenenti ai cittadini dell’UE in qualsiasi parte del mondo. Questo è noto come “effetto extraterritoriale”.

Per citare l’articolo 3 del GDPR (le sezioni pertinenti sono evidenziate in grassetto):

1. Il presente regolamento si applica al trattamento dei dati personali nell’ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nell’Unione.
2. Il presente regolamento si applica al trattamento dei dati personali degli interessati che si trovano nell’Unione da parte di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione, qualora le attività di trattamento siano connesse a:
   a) l’offerta di beni o servizi, indipendentemente dal fatto che sia richiesto un pagamento dell’interessato, a tali interessati nell’Unione; o
   b) il monitoraggio del loro comportamento nella misura in cui il loro comportamento ha luogo all’interno dell’Unione.
3. Il presente regolamento si applica al trattamento di dati personali da parte di un titolare del trattamento non stabilito nell’Unione, ma in un luogo in cui si applica il diritto degli Stati membri in virtù del diritto internazionale pubblico.

Come possiamo vedere nell’articolo 3 del GDPR, ci sono due occasioni principali in cui il GDPR dimostra un effetto extraterritoriale. Questi sono:

Offerta di beni e servizi

Con beni e servizi liberamente scambiati oltre i confini territoriali, il GDPR si occupa principalmente del modo in cui i dati personali dei cittadini dell’UE vengono utilizzati in tali transazioni.

Ad esempio, se un cittadino dell’UE in Danimarca può acquistare un prodotto o un servizio da un fornitore a Chicago, il fornitore deve essere conforme al GDPR. In breve: qualsiasi azienda non UE che si rivolge a clienti dell’UE dovrebbe essere conforme al GDPR.

Le parole chiave qui sono “può” e “catering”. Solo perché un cittadino dell’UE può acquistare da un’azienda non appartenente all’UE non significa che l’azienda si rivolga ai cittadini dell’UE. Un ristorante a Tokyo può prendere ordini via internet. Tuttavia, non commercializzano ai cittadini dell’UE e sono quindi esenti dal GDPR.

Monitoraggio del comportamento

Il caso più comune del GDPR che influisce sulla normale attività di Internet è attraverso i cookie. Si tratta di piccoli software progettati per tracciare l’utilizzo di un sito web. Questi sono considerati dati personali ai sensi del GDPR. Pertanto, qualsiasi sito aperto ai cittadini dell’UE deve seguire il GDPR nella raccolta e nell’utilizzo di tali dati.

Ciò significa che quasi tutti i siti web su Internet devono essere conformi al GDPR. In poche parole: sì. Ma non è necessariamente così che funzionano le cose nella pratica. Se un cittadino olandese utilizza il sito web di una libreria vietnamita che non è conforme al GDPR, è improbabile che abbia molte ramificazioni. Il GDPR è rigoroso, ma non così rigoroso.

Ci sono due principali eccezioni all’effetto extraterritoriale del GDPR:

1. In primo luogo, il GDPR non si applica alle “attività puramente personali o domestiche“. Pertanto, se hai un amico che ti scrive dalla Francia, non sei obbligato a seguire le rigide regole sulla privacy e sul consenso. Piuttosto, solo le organizzazioni impegnate in “attività professionali o commerciali” devono seguire regolarmente il GDPR. E ancora di più, dimostrare di farlo regolarmente.
2. Il GDPR si applica principalmente alle grandi aziende con più di 250 dipendenti. Le piccole e medie imprese devono conformarsi al GDPR. Tuttavia, sono liberati dalla maggior parte degli obblighi di registrazione.

Se un’azienda non UE non è conforme al GDPR, può incorrere in multe fino a 20 milioni di euro o nel 4% del fatturato globale annuo, a seconda di quale sia il più alto.

Si tratta di una somma significativa per qualsiasi azienda. Può persino minacciare la bancarotta. Seguire il GDPR non è quindi solo un obbligo; È una necessità.

Se gestisci un’attività al di fuori della giurisdizione dell’UE, fai attenzione agli obblighi extraterritoriali a cui è soggetta la tua attività. Assicurati di seguire alla lettera il regolamento quando raccogli e utilizza i dati personali dei cittadini dell’UE.

Permane un certo scetticismo sul modo in cui verranno comminate le multe nei confronti delle imprese di paesi terzi. Ma sarebbe avventato presumere di poter sfuggire alle conseguenze della non conformità.

Questa è la panoramica dei casi in cui il GDPR è rilevante per le aziende non UE. In breve: il GDPR si applica alle organizzazioni non UE in due circostanze: quando offrono beni e servizi e quando monitorano il comportamento.

Fonti:

https://www.personneltoday.com/hr/how-does-the-gdpr-apply-to-businesses-outside-the-eu/
https://gdpr.eu/companies-outside-of-europe/
https://www.blakemorgan.co.uk/does-the-gdpr-apply-outside-the-eu-uk/