Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Il GDPR si applica alle aziende statunitensi?

Dalla sua entrata in vigore nel 2018, una delle domande più frequenti sul GDPR è stata: si applica al di fuori dell’Unione Europea? E, più specificamente: si applica alle aziende statunitensi?

In questo post risponderemo a questa domanda e spiegheremo cosa devono fare le aziende statunitensi per conformarsi (ed evitare le multe!).

Does the GDPR apply to US companies?

Il GDPR si applica agli Stati Uniti?

Nella maggior parte dei casi, sì.

Il GDPR ha un ambito di applicazione extraterritoriale, il che significa che può essere applicato anche al di fuori dell’Unione Europea. Il regolamento ha lo scopo di proteggere gli utenti europei, e quindi può estendersi anche alle aziende straniere.

Per essere più precisi, affinché il GDPR si applichi alle vostre aziende statunitensi, dovrete soddisfare almeno uno dei seguenti requisiti:

  1. La vostra azienda ha sede nell’UE (si noti che questo vale anche nel caso di una filiale nell’UE);
  2. non avete sede nell’UE, ma offrite beni o servizi (anche gratuitamente) a utenti con sede nell’UE;
  3. non avete sede nell’UE, ma monitorate il comportamento di utenti con sede nell’UE.

Ecco un esempio pratico, tratto dalle linee guida dell’European Data Protection Board:

Una start-up con sede negli Stati Uniti, senza alcuna presenza commerciale o stabilimento nell’UE, fornisce un’applicazione di mappatura delle città per i turisti. L’applicazione tratta i dati personali relativi alla posizione dei clienti che la utilizzano, al fine di offrire pubblicità mirata per luoghi da visitare, ristoranti, bar e hotel. L’applicazione è disponibile per i turisti che visitano New York, San Francisco, Toronto, Parigi e Roma. La start-up statunitense si rivolge specificamente a persone nell’Unione (in particolare a Parigi e Roma) offrendo loro i propri servizi quando si trovano nell’Unione. Il trattamento dei dati personali degli interessati con sede nell’UE e l’offerta del servizio rientrano nell’ambito di applicazione del GDPR. Inoltre, trattando i dati relativi all’ubicazione degli interessati per offrire pubblicità mirata, le attività di trattamento riguardano anche il monitoraggio del comportamento degli individui nell’Unione. Pertanto, anche il trattamento della start-up statunitense rientra nell’ambito di applicazione del GDPR.

Per una spiegazione più completa, guardate questo video.

In che modo il GDPR può influire sulle aziende statunitensi?

Pertanto, è un errore pensare che, essendo il GDPR un regolamento europeo, non abbia alcun impatto sulle aziende statunitensi.

Come abbiamo detto sopra, l’ambito di applicazione extraterritoriale può consentire alle autorità europee per la protezione dei dati di applicare il GDPR al di fuori dell’Unione europea.

L’applicazione può essere attuata in diversi modi.

La più “spaventosa” è sicuramente quella delle multe: possono arrivare fino a 20 milioni di euro (20 milioni di euro) o al 4% del fatturato mondiale annuo (se superiore). Ma forse altrettanto preoccupanti sono le altre potenziali sanzioni: richiami ufficiali (per le prime violazioni), audit periodici sulla protezione dei dati e danni da responsabilità.

Requisiti del GDPR per le aziende statunitensi: come conformarsi

Affinché la vostra azienda statunitense sia conforme al GDPR, ecco alcuni dei passi da seguire:

  1. avere una base legittima: il GDPR richiede che abbiate almeno una base legittima per il trattamento dei dati degli utenti.
  2. Acquisire un consenso verificabile: mentre le legislazioni statunitensi di solito consentono la raccolta e il trattamento dei dati personali senza il consenso dell’utente, il GDPR richiede di raccogliere un consenso “liberamente dato, specifico, informato ed esplicito” attraverso una chiara azione di “opt-in”.
  3. Mantenere chiare le registrazioni relative al consenso: il GDPR conferisce agli utenti anche il diritto specifico di ritirare il consenso e, pertanto, deve essere altrettanto facile ritirare il consenso che darlo. Poiché il consenso ai sensi del GDPR è una questione così importante, è fondamentale documentare e conservare una chiara documentazione relativa al consenso.
  4. Nominare un responsabile della protezione dei dati (DPO): se avete sede al di fuori dell’UE, potreste comunque aver bisogno di un rappresentante europeo per garantire che la vostra azienda sia conforme al GDPR. Tuttavia, la nomina di un DPO non è sempre obbligatoria, e si devono soddisfare requisiti specifici (si possono leggere qui).
  5. Effettuare una valutazione d’impatto sulla protezione dei dati (DPIA): se sono soddisfatte determinate condizioni, e nei casi in cui l’attività di trattamento dei dati possa comportare un rischio elevato per gli utenti, il GDPR richiede che venga effettuata una valutazione d’impatto sulla protezione dei dati (DPIA).

Come iubenda può aiutare a rispettare il GDPR

Noi di iubenda adottiamo un approccio completo alla conformità alla normativa sui dati. Costruiamo soluzioni tenendo conto delle normative più severe, dandovi la possibilità di personalizzarle in base alle vostre esigenze. In questo modo, vi aiuteremo a rispettare i vostri obblighi legali, a ridurre il rischio di controversie e a proteggere i vostri clienti, creando fiducia e credibilità.

Potete dare un’occhiata alla nostra serie di soluzioni per la conformità al GDPR qui.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com

Hai ancora domande?

Partecipa a uno dei nostri webinar gratuiti Scrivici via email Live chat