In che modo il GDPR influenzerà i marchi statunitensi

L'uso (e l'abuso) dei dati rappresenta una sfida unica per i legislatori e le forze dell'ordine. A differenza di beni e servizi tradizionali, i flussi di dati non rispettano i tradizionali confini internazionali e il tasso di cambiamento tecnologico significa che la legge sulla privacy dei dati è sempre eccessivamente ampia o totalmente obsoleta.

In particolare, le autorità di regolamentazione hanno lottato per sviluppare pratiche di applicazione efficaci per le aziende che hanno un impatto importante nel loro territorio ma hanno sede fisica da qualche altra parte.

Questo è il tema alla base dell'attuale caso della Corte Suprema degli Stati Uniti, Stati Uniti contro Microsoft Corp , che ha portato recentemente all'approvazione del Clarifying Lawful Overseas Use of Data (CLOUD) Act che consentirà effettivamente alle autorità statunitensi di obbligare le società a fornire dati archiviati su server indipendentemente dal fatto che si trovino negli Stati Uniti o all'estero.

Allo stesso modo, molti sono ancora sconvolti dallo scandalo Cambridge Analytica/Facebook, che ha dimostrato come la manipolazione straniera dei dati degli individui possa potenzialmente interferire con la politica interna.

In questo contesto, forse non sorprende che la normativa sulla privacy dei dati di riferimento dell'UE, il regolamento generale sulla protezione dei dati (GDPR), cerchi di applicare standard di protezione dei dati rafforzati non solo alle società con sede nell'UE, ma anche a molte al di fuori di essa.

In questo post, esamino cosa significa il GDPR per i marchi statunitensi e quali passaggi, se del caso, dovrebbero intraprendere ora per prepararsi:

Che cos'è il GDPR e come si può applicare il diritto dell'UE alle società statunitensi?

In parole povere, il GDPR è un atto legislativo dell'UE che cerca di proteggere i dati personali dei cittadini dell'UE regolando il modo in cui le organizzazioni raccolgono, archiviano ed elaborano tali dati.

A differenza del suo predecessore, la Direttiva sulla protezione dei dati, che in generale non disciplinava le società con sede al di fuori dell'UE, il GDPR si applica a qualsiasi trattamento di dati personali degli interessati che si trovano nell'UE e le cui attività di trattamento sono correlate a: l'offerta di beni o servizi a tali interessati nell'UE (indipendentemente dal fatto che sia richiesto un pagamento da parte dell'interessato); oppure, il monitoraggio del loro comportamento nella misura in cui il loro comportamento ha luogo all'interno dell'UE.

Ciò significa che il GDPR non è rilevante solo per le società multinazionali che potrebbero avere sede negli Stati Uniti o per le società statunitensi che hanno attività commerciali dirette nell'UE, ma anche per molte società statunitensi che non lo fanno. In un contesto online, il GDPR sarà rilevante se:

• Hai una forte presenza su Internet nell'UE (anche se non vendi direttamente nell'UE)
• Sei una società di e-commerce che accetta valute dell'UE e/o ha un suffisso di dominio dell'UE (come .co.uk, .fr, .de, ecc.)
• Hai dei visitatori dell'UE e conduci la personalizzazione sul tuo sito web.

Il costo di sbagliare

Se una delle precedenti condizioni si applica alla tua organizzazione, dovresti esaminare attentamente le tue pratiche di gestione dei dati e determinare se è probabile che il GDPR si applichi o meno alle tue attività online. Uno dei motivi per cui questo è così importante è a causa delle ingenti multe previste dal nuovo regolamento.

Il GDPR introduce gravi sanzioni per le aziende che non rispettano le nuove regole. Le multe possono raggiungere i 20 milioni di euro, o il 4% del fatturato mondiale di un'organizzazione, a seconda di quale cifra sia maggiore.

Non è ancora chiaro come le autorità di regolamentazione dell'UE imporrebbero queste sanzioni alle società statunitensi che non hanno una presenza permanente in nessun paese dell'UE, ma l'entità delle potenziali sanzioni dovrebbe significare che anche le società statunitensi dovrebbero prendere sul serio le nuove regole.

La conformità può essere semplice, ma non è solo un esercizio di spunta

Contrariamente a quanto si crede, la conformità al GDPR può essere raggiunta in modo semplice e senza un'enorme quantità di risorse. Tuttavia, non è un semplice esercizio di spunta e alcuni passaggi potrebbero richiedere l'input di più parti interessate all'interno dell'organizzazione.

Per una guida più dettagliata ai nuovi requisiti, l'autorità di regolamentazione del Regno Unito ha pubblicato un riepilogo del GDPR, che è un ottimo punto di partenza se si arriva a questo punto fresco. Tuttavia, per le aziende che non sono abituate alla legge UE sulla protezione dei dati, il rispetto del GDPR può anche richiedere un cambiamento fondamentale nel modo in cui i dati sono concettualizzati:

1.) Dati personali vs PII

La definizione di "dati personali" ai sensi del GDPR è molto più ampia rispetto al concetto statunitense simile di "informazioni di identificazione personale" (PII).

Le PII, come intese negli Stati Uniti, sono generalmente limitate a identificatori come nome, numero di previdenza sociale, data e luogo di nascita e documenti biometrici, medici, educativi, finanziari e occupazionali. Al contrario, per dati personali nell'UE si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile, o "interessato". Ciò comprende identificatori inclusi nella definizione statunitense di PII e include inoltre identificatori online come indirizzo e-mail, ID cookie, indirizzo IP, abitudini di navigazione, dati sulla posizione e così via.

In pratica, questa definizione ampia di dati personali significa che le attività come la personalizzazione del sito Web rientrano nel GDPR, anche se tale personalizzazione comporta solo l'uso di base dell'analisi basata sull'ID cookie o sull'indirizzo IP di un utente.

2.) I Principi di Protezione dei Dati e il consenso

Il GDPR riconosce che le aziende hanno un legittimo interesse a raccogliere e utilizzare i dati personali (ad esempio, allo scopo di comprendere come i visitatori interagiscono con il sito Web di un'azienda). Tuttavia, così facendo, le aziende sono tenute a seguire alcuni "principi di protezione dei dati" come garantire la trasparenza con l'interessato.

Inoltre, potrebbero esserci momenti in cui è necessario il consenso di un visitatore prima che i suoi dati possano essere raccolti, il che ai sensi del GDPR richiede più del semplice riferimento a un'informativa sulla privacy online. Il GDPR elimina il consenso implicito e le caselle preselezionate e impone alle aziende l'onere di dimostrare che l'interessato ha pienamente compreso e accettato ciò a cui gli viene chiesto di acconsentire.

3.) Proprietà

A differenza degli Stati Uniti, dove tutti i dati raccolti da un sito Web sono generalmente considerati appartenenti al proprietario di quel sito Web, nell'UE i dati personali appartengono all'interessato. Di conseguenza, tale individuo ha il diritto di controllare il modo in cui vengono elaborati i propri dati, il che si riflette negli ampi diritti per gli interessati ai sensi del GDPR di accedere, copiare e richiedere alle società di eliminare i propri dati. Le aziende sono tenute a rispettare tali richieste in base a scadenze rigorose o ad affrontare azioni esecutive potenzialmente severe da parte delle autorità di regolamentazione locali.

Allo stesso modo, vengono introdotti requisiti molto più severi anche in caso di coinvolgimento di terze parti. In particolare, gli interessati dovrebbero essere informati con quali società vengono condivisi i loro dati e le organizzazioni possono avvalersi solo di terze parti in grado di garantire un livello adeguato di sicurezza dei dati. Ciò deve essere dimostrato da specifiche pratiche contrattuali che soddisfino i requisiti di contenuto del GDPR. Comprendere queste differenze concettuali sarà fondamentale per le aziende che cercano di conformarsi al GDPR.

Avvolgendo

Il GDPR cambierà il modo in cui le aziende interagiscono con i dati, non solo nell'UE ma in tutto il mondo. I marchi statunitensi, in particolare quelli con una forte presenza su Internet, dovrebbero rivedere attentamente le loro pratiche di gestione dei dati e determinare se è probabile che il GDPR si applichi o meno alle loro attività online. Eventuali dubbi dovrebbero essere discussi con il consulente legale con largo anticipo rispetto alla data di entrata in vigore del GDPR al fine di evitare le ingenti multe previste dal nuovo regolamento.