Il GDPR si applica a me se il mio sito è al di fuori dell'UE?

Se tratti dati personali di persone nell'UE, anche se la tua azienda ha sede negli Stati Uniti, in Brasile o altrove, si applica il GDPR. Esempi: un sito di e-commerce australiano che spedisce in Francia, una società SaaS statunitense con clienti europei, un blog personale in cui i lettori europei si iscrivono a una newsletter. Il principio territoriale è quello del luogo in cui si trova l'interessato, non quello del titolare del trattamento.

Qual è la differenza tra titolare del trattamento e responsabile del trattamento?

Il titolare decide perché e come vengono trattati i dati (Facebook, la tua banca). Il processore elabora i dati per conto del controller (il fornitore di invio di e-mail della banca). Il GDPR impone obblighi diversi a ciascuno. La maggior parte delle aziende agisce come titolare del trattamento per i propri clienti e come responsabile del trattamento dei servizi forniti ad altre aziende.

I cookie banner sono richiesti dal GDPR?

I cookie banner sono per lo più richiesti dalla Direttiva ePrivacy (una legge europea separata e precedente), che richiede il consenso per i cookie non essenziali. Il GDPR stabilisce lo standard per ciò che significa un consenso valido: informato, specifico, dato liberamente, facilmente revocabile. Insieme hanno prodotto la realtà del banner dei biscotti. Il regolamento ePrivacy che sostituirà la direttiva è rimasto nel limbo legislativo per anni.

Una VPN può aiutarmi con i diritti GDPR?

Una VPN non ti garantisce i diritti GDPR: questi si basano sulla residenza, non su ciò che la destinazione vede come tuo IP. I residenti nell’UE hanno i diritti GDPR ovunque si connettano; gli utenti extra-UE non ottengono i diritti GDPR connettendosi tramite una VPN UE. La legge segue la persona, non il pacchetto.

Cosa succede se la mia azienda riceve un reclamo GDPR?

Indaga la Garante locale. Se rilevano una violazione, le sanzioni possono includere avvertimenti, divieti di elaborazione, misure correttive obbligatorie e multe. La maggior parte dei casi viene risolta attraverso il dialogo e la risoluzione dei problemi anziché tramite sanzioni. Le sanzioni di alto profilo da miliardi di euro comportano ripetute violazioni da parte di trasformatori molto grandi dopo molteplici scambi normativi.

Il GDPR spiegato: il regolamento europeo sulla privacy e perché ha rimodellato Internet

Il GDPR, il Regolamento generale sulla protezione dei dati, è in vigore in tutta l’Unione Europea dal 2018 e i suoi effetti si manifestano su ogni sito web visitato: banner sui cookie, opzioni di cancellazione dell’account, strumenti di esportazione dei dati, diritto all’oblio. La legge non è perfetta e l'applicazione non è stata uniforme, ma rimane la normativa sulla privacy più importante al mondo.

Il corpo completo dell'articolo è fornito in inglese di seguito.

LIl Regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore il 25 maggio 2018, sostituendo la vecchia Direttiva sulla protezione dei dati dell'UE del 1995 con un unico regolamento che si applica direttamente in ogni stato membro. Regola il modo in cui le organizzazioni trattano i dati personali delle persone nell'UE e nel SEE. La portata territoriale è ampia: qualsiasi azienda che tratta dati di residenti nell'UE rientra nel GDPR, indipendentemente da dove ha sede l'azienda.

Ciò che conta come dati personali

GDPR la definizione di "dati personali" è più ampia di quanto lo fosse la maggior parte delle leggi nazionali: qualsiasi informazione relativa a una persona fisica identificata o identificabile. Nomi, e-mail, IP, cookie, ID dispositivo, dati sulla posizione, foto, modelli comportamentali. Anche gli ID pseudonimi contano se lo pseudonimo può essere collegato a una persona tramite altri dati disponibili. L'ostacolo è se qualcuno sia riuscito a identificare la persona, non se qualcuno ci abbia provato.

Le sei basi giuridiche

Il trattamento dei dati personali richiede una base legittima — una tra:

Il consenso — il consenso dell'interessato ha dato esplicito, informato, liberamente revocabile autorizzazione
Contratto — il trattamento è necessario per eseguire un contratto con l'interessato (consegnare un ordine, evadere un abbonamento)
Lobbligo legale — previsto dalla legge (documentazione fiscale, antiriciclaggio)
Interessi vitali — necessario per proteggere la vita di qualcuno
Compito pubblico — per scopi di interesse pubblico svolti da un'autorità ufficiale
Linteressi legittimi — Interessi del titolare del trattamento o di terzi contemperati con i diritti e le libertà dell'interessato

LLa scelta della base è deciso dal titolare del trattamento e reso noto nella privacy policy. Il "consenso" è diventato la parola principale a causa dei cookie banner, ma è solo una delle sei basi e le autorità di regolamentazione dell'UE sono state chiare che il consenso non è appropriato come soluzione alternativa per un trattamento che dovrebbe rientrare nel contratto o negli interessi legittimi.

LGli otto diritti dell'interessato

Il GDPR conferisce agli interessati diritti che le organizzazioni devono rispettare su richiesta, in genere entro 30 giorni:

Diritto di accesso — ottenere una copia di tutti i tuoi dati personali e informazioni su come vengono trattati
Diritto alla rettifica — correggere i dati inesatti
Diritto alla cancellazione (diritto all'oblio) — richiedere la cancellazione a condizioni specifiche
Diritto alla limitazione del trattamento — sospendere l'elaborazione mentre le controversie sono risolte
Diritto alla portabilità dei dati — ricevere i propri dati in un formato leggibile dalla macchina e trasmetterli a un altro titolare del trattamento
Diritto all'opposizione — in particolare a dirigere marketing
Diritti relativi al processo decisionale automatizzato — contestare le decisioni prese interamente con mezzi automatizzati
Diritto a essere informati — informative sulla privacy chiare e accessibili

Sanzioni efficaci

LL'elemento che fa notizia nel GDPR: le multe fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale valore sia superiore. Il DPC irlandese ha inflitto a Meta una multa di 1,2 miliardi di euro nel 2023 per trasferimenti di dati non autorizzati dagli Stati Uniti, e la stessa agenzia gli aveva già multato 405 milioni di euro per il trattamento dei dati di minori da parte di Instagram. Amazon è stata multata di 746 milioni di euro dal Lussemburgo. Le sanzioni sono sufficientemente elevate da indurre la maggior parte delle multinazionali a prendere sul serio la conformità.

Detto questo, l'applicazione varia notevolmente. Il DPC irlandese gestisce i casi che coinvolgono la maggior parte dei giganti tecnologici statunitensi perché hanno sede a Dublino ed è stato criticato per la lentezza dell'elaborazione. Altre autorità di protezione dei dati (Germania, Francia, Italia) tendono ad agire più rapidamente nei casi più piccoli.

Regole sul trasferimento dei dati

Una delle disposizioni più importanti del GDPR: i dati possono lasciare l'UE solo verso paesi con una protezione "adeguata" o soggetti a garanzie specifiche. Le sentenze Schrems I (2015) e Schrems II (2020) della Corte di giustizia europea hanno invalidato i successivi quadri di trasferimento dati USA-UE perché le leggi statunitensi sulla sorveglianza non forniscono una protezione equivalente al GDPR. L'attuale Data Privacy Framework (2023) è in vigore ma è già messo in discussione.

La conseguenza pratica: molte aziende mantengono la residenza dei dati solo nell'UE per gli utenti UE e i fornitori di servizi cloud statunitensi offrono spazio di archiviazione nella regione UE che contrattualmente non viene trasferito all'esterno.

Cosa è cambiato effettivamente con il GDPR

Le effetti visibili:

Cookie banner. Ora onnipresenti, per lo più dolorosi, spesso con motivi scuri. La sottostante Direttiva ePrivacy (precedente al GDPR) li richiedeva già; L'applicazione del GDPR le ha rese universali.
Politiche sulla privacy. Più lunghe, più specifiche, con periodi di conservazione e basi legali divulgate.
Cancellazione dell'account. Tutti i principali servizi ora offrono un pulsante self-service per eliminare i miei dati.
Esportazione dei dati. Il diritto di la portabilità dei dati ha portato a formati di esportazione standardizzati (Google Takeout, download da Facebook).
Divulgazione obbligatoria delle violazioni. Entro 72 ore dalla presa di coscienza di una violazione dei dati personali.
DPO (responsabile della protezione dei dati)requisiti per le organizzazioni che elaborano su larga scala.

LL'ondata internazionale effect

GDPR è diventato un modello. Il CCPA della California (2020), la LGPD del Brasile (2020), il DPDP Act dell’India (2023) e decine di altre leggi nazionali ne hanno preso in prestito la struttura. Le multinazionali spesso standardizzano pratiche equivalenti al GDPR a livello globale perché operare con normative frammentate è più costoso di quello più rigido. Il risultato: le regole sulla privacy che tutti devono rispettare da qualche parte sono diventate regole sulla privacy che tutti forniscono ovunque.

Domande frequenti

Il GDPR si applica a me se il mio sito è al di fuori dell'UE?: Se tratti dati personali di persone nell'UE, anche se la tua azienda ha sede negli Stati Uniti, in Brasile o altrove, si applica il GDPR. Esempi: un sito di e-commerce australiano che spedisce in Francia, una società SaaS statunitense con clienti europei, un blog personale in cui i lettori europei si iscrivono a una newsletter. Il principio territoriale è quello del luogo in cui si trova l'interessato, non quello del titolare del trattamento.
Qual è la differenza tra titolare del trattamento e responsabile del trattamento?: Il titolare decide perché e come vengono trattati i dati (Facebook, la tua banca). Il processore elabora i dati per conto del controller (il fornitore di invio di e-mail della banca). Il GDPR impone obblighi diversi a ciascuno. La maggior parte delle aziende agisce come titolare del trattamento per i propri clienti e come responsabile del trattamento dei servizi forniti ad altre aziende.
I cookie banner sono richiesti dal GDPR?: I cookie banner sono per lo più richiesti dalla Direttiva ePrivacy (una legge europea separata e precedente), che richiede il consenso per i cookie non essenziali. Il GDPR stabilisce lo standard per ciò che significa un consenso valido: informato, specifico, dato liberamente, facilmente revocabile. Insieme hanno prodotto la realtà del banner dei biscotti. Il regolamento ePrivacy che sostituirà la direttiva è rimasto nel limbo legislativo per anni.
Una VPN può aiutarmi con i diritti GDPR?: Una VPN non ti garantisce i diritti GDPR: questi si basano sulla residenza, non su ciò che la destinazione vede come tuo IP. I residenti nell’UE hanno i diritti GDPR ovunque si connettano; gli utenti extra-UE non ottengono i diritti GDPR connettendosi tramite una VPN UE. La legge segue la persona, non il pacchetto.
Cosa succede se la mia azienda riceve un reclamo GDPR?: Indaga la Garante locale. Se rilevano una violazione, le sanzioni possono includere avvertimenti, divieti di elaborazione, misure correttive obbligatorie e multe. La maggior parte dei casi viene risolta attraverso il dialogo e la risoluzione dei problemi anziché tramite sanzioni. Le sanzioni di alto profilo da miliardi di euro comportano ripetute violazioni da parte di trasformatori molto grandi dopo molteplici scambi normativi.