Diritto commercialeNotizieSLF Avvocati NotizieIl regolamento generale sulla protezione dei dati dell'UE – Impatto sulle imprese australiane

Molto presto, il 25 maggio 2018, il regolamento generale sulla protezione dei dati dell'UE (GDPR) entrerà in vigore. Il GDPR è stato progettato per armonizzare le leggi sulla privacy dei dati in tutta l'UE e per proteggere la privacy dei dati degli "interessati" dell'UE.

 

Cosa significa questo per le imprese australiane?

Il GDPR si applica a qualsiasi azienda che detiene, controlla o elabora i dati personali degli interessati dell'UE o che monitora il comportamento degli interessati dell'UE (incluso il monitoraggio del sito Web), indipendentemente dalla posizione dell'azienda. Ciò significa che qualsiasi entità australiana che gestisce un'attività con sede nell'UE, che gestisce un'attività che offre beni o servizi a persone nell'UE (indipendentemente dal fatto che sia richiesto un pagamento) o che tratta le informazioni personali degli interessati dell'UE avrà probabilmente bisogno di per rispettare la legge (puoi vedere un elenco dei paesi membri dell'UE qui, che in questa fase include ancora il Regno Unito [ https://europa.eu/european-union/about-eu/countries_en]). Le aziende australiane che non hanno fatto alcuno sforzo per commercializzare o indirizzare i propri servizi a chiunque al di fuori dell'Australia, e le cui commissioni devono essere pagate in AUD, non saranno vincolate dal GDPR dell'UE solo perché un interessato dell'UE ha richiesto all'azienda di spedire un prodotto a loro nell'UE.

 

Chi è un "interessato" dell'UE? Il GDPR non fornisce una definizione specifica per questo termine, ma vari articoli del GDPR, se letti insieme, forniscono le seguenti indicazioni:

• un interessato è chiunque si trovi fisicamente all'interno dei confini dell'UE al momento del trattamento dei suoi dati personali. Ciò include chiunque visiti un paese dell'UE in vacanza; e
• se l'interessato si sposta fuori dal confine dell'UE (temporaneamente o permanentemente), i suoi dati personali trattati al di fuori dell'UE non sono coperti dal GDPR dell'UE e non sono più interessati ai fini di tali dati, a meno che i dati vengono elaborati o controllati da un'organizzazione stabilita nell'UE.

Mentre l'Australia ha avuto una legislazione sulla privacy per molti decenni (il Legge sulla privacy 1988 (Cth)) e ha recentemente introdotto uno schema di violazione dei dati notificabile, il GDPR è molto più completo e va oltre i requisiti delle normative sulla privacy australiane. I tempi per la conformità sono molto più brevi e le sanzioni per il mancato rispetto sono molto più elevate.

 

Il GDPR include obblighi su:

• intraprendere una valutazione d'impatto sulla protezione dei dati;
• ottenere un consenso libero, specifico, informato e non ambiguo da parte delle persone (le caselle preselezionate o i consensi di opt-out non sono consentiti dal GDPR);
• attuare misure tecniche e organizzative adeguate per il trattamento e la protezione dei dati;
• documentare la relazione tra un titolare del trattamento e un responsabile del trattamento in un contratto con determinate condizioni prescritte (un fornitore di servizi IT può essere considerato un responsabile del trattamento);
• nominare responsabili della protezione dei dati per monitorare e consigliare sulla conformità;
• minimizzazione dei dati (ovvero cessazione della raccolta di tutti i dati non essenziali);
• consentire alle persone di revocare il consenso e di richiedere la cancellazione dei dati (compresi gli obblighi di "diritto all'oblio");
• trasferimento all'estero di dati personali (che può essere effettuato solo verso paesi o organizzazioni che forniscono un livello adeguato di protezione dei dati); e
• uno schema obbligatorio di notifica della violazione dei dati (che richiede la notifica entro 72 ore, a differenza del requisito "non appena possibile" australiano).

 

Il GDPR richiede inoltre che i titolari e gli incaricati del trattamento coperti dal GDPR ma non stabiliti nell'UE designino un rappresentante stabilito in uno Stato membro dell'UE quale punto di contatto per le autorità di controllo e le persone fisiche nell'UE su tutte le questioni relative al trattamento dei dati (alcuni si applicano eccezioni).

È importante sottolineare che per le aziende australiane che impiegano persone interessate dell'UE (direttamente o tramite una filiale dell'UE), che distaccano dipendenti nell'UE o che gestiscono operazioni globali di gestione degli stipendi, non vi è alcuna esenzione ai sensi del GDPR simile a quella prevista dal Legge sulla privacy 1988 (Cth) che esenta dalla legge le informazioni personali dei dipendenti. Tutte le informazioni di identificazione personale delle persone che si trovano nell'UE rientreranno nell'ambito di applicazione del GDPR.

 

Il GDPR impone requisiti di divulgazione molto più severi prima della raccolta dei dati (inclusa la raccolta dei dati dei dipendenti). Gli interessati dell'UE devono ricevere informative sulla privacy che includono:

• le categorie di dati personali raccolti;
• le finalità previste per il trattamento dei dati personali;
• la base giuridica per il trattamento dei dati personali;
• i destinatari previsti dei dati personali;
• il periodo di conservazione dei dati personali;
• il diritto della persona di richiedere l'accesso, la rettifica o la cancellazione dei dati personali; e
• il diritto della persona di limitare il trattamento dei dati personali.

Come la legislazione australiana, alcune categorie di informazioni sono considerate sensibili e sono soggette a tutele più rigorose (ad esempio, dati biometrici, origine razziale o etnica, orientamento sessuale, dati sulla salute, religione, appartenenza sindacale, opinioni politiche). Per i datori di lavoro, il trattamento di tali dati sarà vietato a meno che il trattamento non rientri in un'eccezione.

Le conseguenze del mancato rispetto del GDPR sono significative, con multe fino a 20 milioni di sterline o 4% del fatturato globale (a seconda di quale sia l'importo maggiore), oltre ad altre sanzioni tra cui la possibilità di interrompere il commercio nell'UE.

Le aziende australiane dovranno valutare attentamente se detengono, controllano o elaborano i dati personali degli interessati dell'UE e quindi se devono conformarsi al GDPR. Se tali attività non sono essenziali per l'attività commerciale, le imprese australiane dovrebbero riconsiderare la loro assunzione. Se tali attività sono essenziali per l'attività commerciale, le imprese australiane dovranno porsi le seguenti domande:

• abbiamo il controllo sui dati personali raccolti sui cittadini UE?
• come e quando viene ottenuto il consenso a raccogliere, conservare e utilizzare i dati?
• come vengono utilizzati i dati?
• come e a chi vengono comunicati i dati?
• siamo pronti a fornire prove della conformità al GDPR alle autorità di regolamentazione quando richiesto?
• abbiamo condotto una valutazione d'impatto sulla protezione dei dati?
• disponiamo di un piano di risposta alla violazione dei dati conforme al requisito di notifica di 72 ore del GDPR?
• abbiamo una tabella di marcia per la conformità al GDPR entro il 25 maggio 2018?

 

Gli avvocati di SLF possono assistervi nel determinare se siete tenuti a rispettare il GDPR e nello sviluppo di strategie per la conformità. Si prega di contattare Steven Morris o Jennifer Ingrey del nostro ufficio se avete bisogno di consigli o ulteriori informazioni su quanto esposto in questo articolo.