Dal 25 maggio 2018, il Regolamento Generale sulla Protezione dei Dati (GDPR — Regolamento UE 2016/679) è in vigore in tutta l’Unione Europea. Per qualsiasi azienda — italiana, straniera o con sede fuori dall’UE — che raccoglie, tratta o conserva dati personali di persone fisiche residenti in Europa, il GDPR si applica obbligatoriamente. Non rispettarlo espone l’azienda a sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, se superiore.
Chi è obbligato a rispettare il GDPR
Il GDPR si applica a qualsiasi organizzazione che tratti dati personali di individui residenti nell’UE, indipendentemente da dove ha sede l’organizzazione stessa. Questo significa che un’azienda cinese che vende prodotti a clienti italiani online, gestisce dipendenti in Italia o raccoglie dati tramite un sito web accessibile in Europa è soggetta al GDPR.
Obblighi principali per le aziende
— Informativa sulla privacy: ogni raccolta di dati personali deve essere accompagnata da un’informativa chiara e completa che spieghi finalità, base giuridica, tempi di conservazione e diritti dell’interessato.
— Base giuridica del trattamento: il trattamento dei dati deve sempre poggiare su una base giuridica valida: consenso, contratto, obbligo legale, interesse vitale, interesse pubblico o interesse legittimo.
— Registro delle attività di trattamento: le aziende con più di 250 dipendenti, o che trattano dati sensibili o in modo sistematico, sono obbligate a tenere un registro interno delle attività di trattamento.
— Data Protection Officer (DPO): alcune categorie di aziende sono obbligate a nominare un DPO. Anche quando non è obbligatorio, è consigliabile per le aziende che trattano grandi volumi di dati.
— Notifica delle violazioni: in caso di violazione dei dati (data breach), l’azienda è obbligata a notificarlo all’Autorità Garante entro 72 ore dalla scoperta.
— Trasferimenti di dati verso Paesi terzi: il trasferimento di dati personali verso la Cina richiede specifiche garanzie aggiuntive, poiché la Cina non è riconosciuta dall’UE come Paese con livello di protezione adeguato.
Il punto critico per le aziende cinesi: i trasferimenti verso la Cina
Molte aziende cinesi operanti in Europa trasferiscono regolarmente dati (di dipendenti, clienti, fornitori) verso i sistemi informatici della casa madre in Cina. Questo trasferimento è soggetto a restrizioni specifiche del GDPR. Le soluzioni più comuni includono le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea o le norme vincolanti d’impresa (BCR) per i gruppi multinazionali.
Rxconsult, in collaborazione con i propri partner legali, supporta le aziende cinesi nell’analisi della propria posizione GDPR, nella redazione della documentazione necessaria e nell’impostazione di processi conformi alla normativa europea.
