La conformità al GDPR si applica alle aziende statunitensi?

Nel maggio del 2018, l'Unione Europea ha promulgato uno dei più severi insiemi di regole per la protezione dei dati personali. Il nome formale di questa legislazione è il General Data Protection Regulation, ma è più comunemente conosciuto come il GDPR.

Il GDPR regola i dati personali, che sono definiti come qualsiasi informazione che può identificare un individuo, chiamato “soggetto dei dati”. Le aziende interessate devono conformarsi ai desideri dei soggetti dei dati su come vengono trattati i loro dati personali, così come mantenere registrazioni di come avviene questo trattamento.

Questo articolo risponde alla domanda: quando e come si applica il GDPR alle aziende statunitensi e ai cittadini statunitensi? Copre i requisiti fondamentali dell'atto e le specificità dell'applicazione del GDPR che ogni azienda con sede negli Stati Uniti dovrebbe conoscere.

L'ambito dei dati personali secondo questa definizione è significativamente più ampio rispetto alla maggior parte degli standard di conformità degli Stati Uniti, che tendono a proteggere solo i dati che possono essere utilizzati per commettere frodi. Oltre ai nomi e ai numeri di identificazione governativi, il GDPR protegge anche informazioni che possono essere ricondotte all'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di una persona.

GDPR a colpo d'occhio

Quali dati protegge il GDPR?

Il GDPR è stato progettato per dare ai cittadini dell'UE un maggiore controllo sui dati personali che le organizzazioni raccolgono, elaborano e conservano su di loro. L'ambito del termine "dati personali" sotto il GDPR è significativamente più ampio rispetto alla maggior parte delle leggi di conformità degli Stati Uniti, che tendono a proteggere solo i dati che possono essere utilizzati per commettere frodi. Oltre ai nomi e ai numeri di identificazione governativi, il GDPR protegge anche informazioni che possono essere ricondotte all'identità "fisica, fisiologica, genetica, mentale, economica, culturale o sociale" di una persona, come il loro indirizzo IP e i dati dei cookie del browser.

Il GDPR si applica ai cittadini dell'UE che vivono negli Stati Uniti?

No. Il GDPR si riferisce specificamente ai “soggetti di dati che si trovano nell'Unione.” Se un cittadino dell'UE vive negli Stati Uniti, il GDPR non si applica. Questa è una distinzione importante da considerare se tutto o quasi tutto il business di un'azienda avviene in sedi fisiche sul suolo statunitense.

Quella categoria comprende più organizzazioni di quanto si possa pensare. Secondo il gruppo di ricerca Clutch.co, il 36% delle piccole imprese non ha alcun tipo di sito web. Di conseguenza, è molto più facile per queste aziende determinare se stanno facendo affari con residenti dell'UE.

Il GDPR si applica ai cittadini statunitensi?

Può. Il GDPR tutela le informazioni di chiunque viva nell'UE. Pertanto, se un cittadino statunitense risiede in un paese dell'UE quando un'azienda raccoglie informazioni su di lui, il GDPR si applicherà a tali dati.

Il GDPR non si applica ai cittadini statunitensi che vivono negli Stati Uniti, ma ci sono diverse normative federali e statali sulla privacy negli Stati Uniti che offrono alcune protezioni simili. In particolare, il California Privacy Protection Act (CalOPPA) e il California Consumer Privacy Act (CCPA) regolano la raccolta di “informazioni personali identificabili” da qualsiasi persona residente nello stato della California (che include tutti i residenti in California che sono cittadini dell'UE).

Analogamente, il Children’s Online Privacy Protection Act (COPPA) regola la raccolta, l'uso e la distribuzione dei dati appartenenti a qualsiasi bambino di età inferiore ai 13 anni, indipendentemente dalla cittadinanza, purché si trovino negli Stati Uniti al momento della raccolta delle loro informazioni.

Come influisce il GDPR sulle aziende statunitensi?

A differenza delle normative statunitensi specifiche per settore come l'HIPAA per la medicina e la GLBA per la finanza, il GDPR è un regolamento generale sulla data privacy che si applica a tutte le organizzazioni, pubbliche e private, che memorizzano o elaborano i dati personali dei residenti dell'UE. Ciò significa che molte aziende statunitensi sono soggette alla normativa.

Tuttavia, il GDPR riconosce che alcune aziende non appartenenti all'UE fanno affari con i cittadini dell'UE solo su base incidentale. Secondo il considerando 23, le aziende straniere sono tenute a conformarsi al GDPR solo se mirano ai residenti dell'UE con il loro marketing. Ad esempio, se si dispone di un sito web localizzato nella lingua di uno stato membro dell'UE e/o si elencano prezzi in Euro, si presuppone che si stia mirando ai cittadini dell'UE e quindi si sarebbe soggetti al GDPR.

In generale, potresti essere ritenuto responsabile se una delle seguenti condizioni è vera:

• Elaborate regolarmente i dati dei residenti dell'UE.
• I diritti e le libertà di tali soggetti dei dati potrebbero essere a rischio.
• Elaborate informazioni relative a special data categories, inclusi lo stato di salute, le origini razziali o etniche, l'orientamento sessuale o le convinzioni religiose.

Il GDPR si applica alle agenzie governative degli Stati Uniti e ad altre organizzazioni del settore pubblico?

Tecnicamente, il GDPR si applica a tutte le organizzazioni, pubbliche e private, in tutto il mondo. Tuttavia, nella pratica, solo alcune agenzie governative statunitensi sono probabilmente

Il GDPR regola le attività di elaborazione dei dati personali solo se tale elaborazione serve a uno dei due scopi:

• Offerta di beni o servizi
• Monitoraggio del comportamento di un soggetto dati all'interno dell'Unione Europea

Pertanto, molte organizzazioni del settore pubblico non sono soggette al GDPR. Alcune agenzie federali, tra cui il Dipartimento della Sicurezza Interna e il Dipartimento di Stato, possono avere motivi per raccogliere dati personali di cittadini dell'UE e utilizzarli per monitorare il comportamento. Allo stesso modo, se un ente per il turismo statale raccogliesse dati allo scopo di farsi pubblicità presso i cittadini dell'UE, o se un college statale raccogliesse informazioni su uno studente potenziale, il GDPR sarebbe applicabile. Ma la maggior parte delle altre agenzie governative, comprese quelle che raccolgono dati relativi agli interessi commerciali dei cittadini dell'UE, sono improbabili che siano soggette al GDPR

Quali sono i requisiti più importanti del GDPR per le aziende statunitensi?

Qualsiasi organizzazione, sia nel settore privato che in quello pubblico, che memorizza o elabora informazioni personali riguardanti i residenti dell'UE deve conformarsi al GDPR, anche se non ha una presenza fisica all'interno dell'UE. I requisiti più importanti sono spiegati di seguito.

Requisiti per controllori e processori

I requisiti del GDPR dipendono dal fatto che tu agisca come Controllore o come Processore:

• I responsabili del trattamento definiscono gli scopi e i mezzi del trattamento dei dati personali. Devono attuare misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali è eseguito in conformità con il GDPR.
• I processori gestiscono dati personali seguendo le istruzioni documentate di un Controllore. I processori possono essere gruppi interni che mantengono ed elaborano registri di dati personali, oppure un'azienda esterna che svolge tutte o parte di tali attività.

Il GDPR ritiene responsabili sia i Controllori che i Processori per le violazioni delle sue disposizioni. Pertanto, è possibile che sia la tua azienda che un partner di elaborazione dati, come un fornitore di servizi cloud, siano passibili di multe e altre penalità sotto il GDPR, anche se la colpa è interamente da parte del tuo partner di elaborazione.

Requisiti per i contratti di elaborazione dei dati

Il GDPR richiede che i Controllori e i Processori stipulino un contratto legalmente vincolante quando un Controllore ingaggia un Processore per elaborare dati personali per suo conto. I Controllori sono tenuti ad utilizzare solo Processori che offrano garanzie sufficienti di avere misure tecniche e organizzative adeguate in atto per conformarsi al GDPR. Tali misure dovrebbero essere dettagliate nella data security policy dell'organizzazione.

L'articolo 28 dettaglia ciò che deve essere incluso in un Contratto di Elaborazione dei Dati tra un responsabile del trattamento e un processore di dati. Prima di tutto, deve includere i seguenti dettagli:

• L'oggetto, la durata, la natura e lo scopo del trattamento dei dati
• Il tipo di dati personali che vengono elaborati
• Le categorie di soggetti dei dati i cui dati personali sono in fase di elaborazione
• I requisiti e i diritti del Controllore

Inoltre, il contratto deve contenere le seguenti disposizioni:

• Il Processore tratterà i dati personali ricevuti dal Controllore solo su istruzioni documentate del Controllore (a meno che non sia richiesto dalla legge di trattare i dati personali senza tali istruzioni).
• Il Processore garantisce che qualsiasi persona che elabora dati personali sia soggetta al dovere di riservatezza.
• Il Processore adotta tutte le misure richieste dall'Articolo 32, inclusa l'implementazione di misure tecniche e organizzative adeguate per proteggere i dati personali ricevuti dal Controllore.
• Il Processore ottiene un'autorizzazione scritta per qualsiasi sub-processore che il Processore può impiegare per elaborare i dati personali ricevuti dal Controllore. Se il Controllore fornisce un'autorizzazione generale scritta per l'impiego di sub-processori, al Controllore deve essere data l'opportunità di opporsi in anticipo a ciascun sub-processore che il Processore propone di impiegare.
• Qualsiasi sottoprocessore coinvolto dal Processore è soggetto agli stessi requisiti di protezione dei dati del Processore e che il Processore rimane direttamente responsabile nei confronti del Controllore per l'adempimento dei requisiti di protezione dei dati di un sottoprocessore.
• Il Processore supporta il Controllore implementando misure tecniche e organizzative appropriate per rispondere alle richieste dei soggetti dei dati in base al GDPR.

• Il Processore supporta il Controllore per garantire la conformità con i requisiti del GDPR per la sicurezza del trattamento dei dati (Articolo 32), la notifica di data breaches (Articoli 33 e 34) e le valutazioni d'impatto sulla protezione dei dati (Articoli 35 e 36).
• Al termine dell'elaborazione dei dati da parte del Processore e su istruzione del Controllore, il Processore cancella o restituisce i dati personali ricevuti dal Controllore.
• Il Processore mette a disposizione del Controllore tutte le informazioni necessarie a dimostrare la conformità con l'Articolo 28 e che il Processore consente e contribuisce agli audit condotti dal Controllore o da un terzo per conto del Controllore.

Esistono altre disposizioni che i Controllori e i Processori possono voler includere in un Contratto di Elaborazione dei Dati su base caso per caso, ma che non sono obbligatorie secondo il GDPR, come ad esempio:

• Disposizioni relative alla responsabilità (incluse le indennità)
• Disposizioni di sicurezza dettagliate (tecniche)
• Ulteriori disposizioni di cooperazione tra il Controllore e il Processore

Regole per le aziende multinazionali

Se la tua azienda con sede negli Stati Uniti fa parte di una multinazionale stabilita nell'UE e ricevi regolarmente dati dai tuoi omologhi europei riguardanti cittadini dell'UE, sei soggetto a norme che regolano questi trasferimenti di dati tra paesi. Queste Regole Aziendali Vincolanti (BCRs) sono specificate nell'Articolo 29 e forniscono un quadro per le aziende multinazionali per trasferire dati personali dall'Area Economica Europea (EEA) ai loro affiliati situati al di fuori dell'EEA in conformità legale con l'8° principio di protezione dei dati e l'Articolo 25 della Direttiva 95/46/CE.

Regole per la notifica di violazione dei dati

Le notifiche di violazione dei dati devono essere emesse quando una violazione della sicurezza porta alla divulgazione, perdita o alterazione accidentale o illegale di dati personali. Il data privacy law GDPR impone che se una data breach mette a rischio i diritti e le libertà personali degli individui e non è possibile contenere tali rischi, tutti gli individui interessati devono essere notificati. Se un'azienda determina che non esiste tale rischio, tale posizione deve essere supportata da prove credibili. I processori di dati che subiscono violazioni devono anche notificare il relativo controllore dei dati. È inoltre necessario notificare le autorità di protezione dei dati; se la violazione riguarda persone in più località, sarà necessario notificare l'autorità con la giurisdizione più ampia. Un regolatore non dirà che non avresti dovuto avere una violazione. Diranno che avresti dovuto avere politiche, procedure e una struttura di risposta in atto per risolvere rapidamente il problema.

Anche se il termine legale per segnalare una violazione è di 72 ore, non aspettare fino all'ultimo momento per farlo; effettua una segnalazione non appena ti rendi conto della violazione e informa il regolatore che stai mettendo in atto il tuo processo di risposta e che fornirai aggiornamenti.

Requisito per le valutazioni d'impatto sulla protezione dei dati

L'articolo 35 del GDPR richiede a tutte le aziende di condurre valutazioni d'impatto sulla protezione dei dati (DPIA) per valutare il potenziale data risk e per dimostrare come i dati fluiscono attraverso l'organizzazione. Ci sono quattro componenti fondamentali in una valutazione d'impatto sulla protezione dei dati:

• Una descrizione delle operazioni di elaborazione
• Una spiegazione del motivo per cui l'elaborazione è in corso e perché è necessaria
• Una descrizione delle misure adottate per mitigare il rischio e proteggere la privacy degli utenti
• Un resoconto che dettaglia il rischio rispetto al beneficio

Il GDPR non fornisce una struttura specifica per queste valutazioni, ma specifica che la raccolta e l'elaborazione dei dati devono sempre “servire l'umanità”, indicando che l'attenzione dovrebbe essere rivolta al loro beneficio per i soggetti dei dati.

Consenso per l'elaborazione dei dati

In base al GDPR, le aziende devono ricevere un consenso esplicito per poter elaborare dati personali: Ogni soggetto dei dati deve non solo acconsentire a permettervi di raccogliere e conservare i suoi dati, ma anche ad avere i suoi dati utilizzati nel modo in cui intendete.

I soggetti dei dati hanno il diritto di revocare il consenso per qualsiasi scopo. Se un cliente decide che non vuole più ricevere gli annunci mirati che crei utilizzando i suoi dati, sei tenuto a rimuovere il cliente dal tuo sistema.

Protezione dei diritti dei soggetti dei dati

Il GDPR elenca otto diritti del soggetto dei dati che le aziende hanno l'obbligo di rispettare. Essi sono:

• Il diritto di essere informati su ciò che accade ai dati personali
• Il diritto di ottenere una copia dei dati raccolti e di qualsiasi informazione supplementare per contesto
• Il diritto di avere dati inaccurati corretti
• Il diritto di ottenere la cancellazione dei dati personali (in determinate circostanze)
• Il diritto di limitare come vengono utilizzati i dati
• Il diritto di ricevere un rapporto sui dati che sono stati raccolti
• Il diritto di ordinare la cessazione del trattamento dei dati
• Il diritto di non essere soggetto a decisioni prese sulla base di elaborazione automatica dei dati

Inoltre, le aziende devono rendere comodo per i soggetti dei dati esercitare questi diritti. Ad esempio, le aziende possono scegliere di emettere una politica sulla privacy e richiedere ai clienti di spuntare una casella “accetto”. Queste procedure dovrebbero essere delineate nella vostra dichiarazione sulla privacy, che dovrebbe essere aggiornata regolarmente (un buon controllo delle versioni è un modo prudente per dimostrare la conformità).

Nomina del personale

La Commissione Europea raccomanda che ogni azienda interessata abbia un responsabile della protezione dei dati (DPO) nel proprio organico. È necessario avere un DPO se si applica una delle seguenti condizioni:

• Sei un'autorità pubblica che elabora dati protetti dal GDPR.
• Le tue attività principali includono il monitoraggio sistematico e su larga scala dei dati.
• Elaborate una categoria speciale di dati, come lo stato di salute, le origini razziali o etniche, l'orientamento sessuale o le convinzioni religiose.

Anche quando il GDPR non richiede specificamente la nomina di un DPO, le organizzazioni possono talvolta trovare utile designare un DPO su base volontaria. Il DPO è un pilastro della responsabilità, e nominare un DPO può dimostrare e facilitare la conformità, offrendo un vantaggio competitivo alle imprese dimostrando quanto sia etica la vostra organizzazione. Il Gruppo di lavoro per la protezione dei dati dell'Articolo 29 (‘WP29’) incoraggia questi sforzi volontari. (Questo gruppo include rappresentanti delle autorità di protezione dei dati di ogni stato membro dell'UE e rilascia linee guida per conformarsi ai requisiti del GDPR, come la nomina dei DPO.)

Un DPO può essere qualsiasi membro dello staff che garantisce che la strategia di protezione dei dati della vostra azienda sia conforme al GDPR. Se non avete una presenza fisica nell'UE, dovrete nominare un rappresentante in un paese dell'UE. Il DPO può avere altri compiti, purché abbia ancora tempo per monitorare la conformità al GDPR.

Una volta nominato un DPO o assunto qualcuno di nuovo per ricoprire il ruolo, assicurati che sappia cosa deve fare e che abbia le risorse necessarie per farlo. Una lista di controllo completa è l'ideale. Oltre a compiti come facilitare le DPIA e svolgere audit, i DPO fungono da intermediari tra le parti interessate, come le autorità di vigilanza, i soggetti dei dati e le unità aziendali all'interno di un'organizzazione.

Si noti che i DPO non sono personalmente responsabili in caso di mancata conformità al GDPR. L'articolo 24 chiarisce che è il Titolare o il Responsabile del trattamento che deve garantire e essere in grado di dimostrare che l'elaborazione è eseguita in conformità con le disposizioni del GDPR.

Dopo: Consigli per diventare conformi al GDPR

Il modo migliore per ottenere la conformità al GDPR è adottare un approccio dall'alto verso il basso, pensando agli obiettivi principali e poi determinando quali controlli tecnici scegliere per raggiungere tali obiettivi. Oltre agli ovvi strumenti di GDPR Compliance Tools, ci sono tre cose fondamentali da tenere a mente quando si cerca di garantire la sicurezza dei dati regolamentati:

Gestione del rischio di sicurezza

Il GDPR enfatizza un approccio basato sul rischio per la protezione dei dati e la sicurezza dei vostri sistemi e servizi di elaborazione. Dovete identificare e valutare i vostri rischi e poi adottare misure appropriate per gestirli in base a fattori come:

• La tecnologia disponibile
• Il costo dell'implementazione di strumenti e processi
• La natura, l'ambito, il contesto e lo scopo dell'elaborazione
• La gravità e la probabilità dei rischi
• I dati personali che elabori
• I sistemi che elaborano quei dati

Quando l'elaborazione dei dati è suscettibile di comportare un alto rischio per i diritti e le libertà degli individui, è necessario intraprendere una DPIA per stabilire l'impatto del trattamento previsto sulla protezione dei dati personali e identificare le misure tecniche e organizzative necessarie a mitigare il rischio. Se tali misure non riducono il rischio ad un livello accettabile, è necessario consultare l'autorità di regolamentazione dei dati prima di iniziare l'elaborazione.

Governance

È necessario anche implementare adeguate politiche di Data Security Posture Management e processi in materia di sicurezza delle informazioni. Assicurati di mantenere registri delle attività di elaborazione e, se richiesto, nominare un Responsabile della Protezione dei Dati.

Consapevolezza e formazione del personale

Aiutate il vostro personale a gestire i dati personali in modo sicuro fornendo un'educazione alla consapevolezza pertinente e una formazione sull'uso corretto dei vostri sistemi e strumenti. Ad esempio, il personale deve essere competente in modo tale da non elaborare dati personali in modo involontario (ad esempio, inviandoli al destinatario sbagliato).

Domande frequenti

Cosa significa il GDPR per le aziende statunitensi?

Il GDPR regola la raccolta e l'elaborazione dei dati personali degli residenti dell'UE, anche se l'azienda si trova negli Stati Uniti.

Come influisce il GDPR sulle aziende con sede negli Stati Uniti?

Le aziende statunitensi devono conformarsi al GDPR se offrono beni o servizi ai residenti dell'UE in particolare, o se monitorano il comportamento dei residenti dell'UE all'interno dell'Unione.

Quando è necessaria la conformità al GDPR negli Stati Uniti?

Se un'azienda raccoglie dati personali da residenti dell'UE per scopi commerciali e lo fa più di occasionalmente, deve essere compliant with the GDPR.

Cos'è il dato personale, secondo il GDPR, negli Stati Uniti?

I dati personali sono qualsiasi informazione che può essere collegata all'identità individuale o sociale di una persona. Ciò include il nome della persona, la residenza, il lavoro o l'affiliazione religiosa.

Cosa succede se le aziende statunitensi non rispettano il GDPR?

Qualsiasi azienda riscontrata in violazione del GDPR può essere soggetta a multe comprese tra i 10 milioni di euro e i 20 milioni di euro o fino al 4% del fatturato annuo dell'azienda.

Quale organizzazione ha l'autorità di far rispettare le norme per penalizzare le aziende statunitensi non conformi?

La Commissione Europea è l'organo ufficiale di regolamentazione per il GDPR. Se un'azienda viene trovata in violazione di queste normative ma non rientra nella giurisdizione europea, la CE può collaborare con governi internazionali per imporre multe e penalità.