Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Quando si applica il GDPR al di fuori dell'UE? Spiegazione dei metodi di conformità

Quando si applica il GDPR al di fuori dell'UE? Spiegazione dei metodi di conformità

General Corporate

Quando si applica il GDPR al di fuori dell'UE? Spiegazione dei metodi di conformità

Il GDPR (General Data Protection Regulation) è un regolamento stabilito dall’UE che definisce la protezione e il trattamento dei dati personali. Se si intende espandere prodotti o servizi all’interno dell’UE, è possibile che il GDPR venga applicato. Tuttavia, ci possono essere persone che non sanno se il proprio business rientra nell’ambito di applicazione del GDPR e, in caso affermativo, cosa fare.

In questo articolo, spiegheremo l’ambito di applicazione del GDPR, cosa fare se si è soggetti a tale regolamento e le misure di risposta richieste. È presente anche una sezione Q&A sul GDPR, quindi vi invitiamo a consultarla come riferimento.

Ambito di applicazione del GDPR

Donna

Le condizioni di applicabilità del GDPR sono stabilite all’articolo 3 “Ambito di applicazione geografico” del GDPR stesso. L’ambito di applicazione del GDPR si divide in due casi: quando si ha una base operativa all’interno dell’UE e quando non se ne ha.

Il contenuto previsto per i casi in cui si ha una base operativa all’interno dell’UE è il seguente:

“Si applica al trattamento dei dati personali nell’ambito delle attività di un titolare o di un responsabile del trattamento nell’UE, indipendentemente dal fatto che il trattamento avvenga all’interno dell’UE o meno”.

Riferimento: Commissione per la protezione delle informazioni personali | “Traduzione provvisoria in giapponese del Regolamento generale sulla protezione dei dati (GDPR)[ja]

In altre parole, se si ha una base operativa di un titolare o di un responsabile del trattamento all’interno dell’UE, il GDPR è applicabile.

Titolare del trattamentoColui che determina le finalità e i mezzi del trattamento dei dati personali
Responsabile del trattamentoColui che effettua il trattamento dei dati personali per conto del titolare

Quando non si ha una base operativa all’interno dell’UE, l’ambito di applicazione si estende ai seguenti due casi:

  1. Se si offrono beni o servizi a persone fisiche nell’UE
  2. Se si monitora il comportamento di persone fisiche nell’UE

Il GDPR impone rigide restrizioni ai paesi esterni all’UE e, per trasferire liberamente i dati, è necessario ottenere una “decisione di adeguatezza”. Tale decisione è un riconoscimento stabilito dopo consultazione con la Commissione Europea e viene concesso a paesi o regioni che garantiscono un livello di protezione adeguato per i dati personali.

I paesi o le regioni che non hanno ricevuto una decisione di adeguatezza devono seguire procedure come le SCC o le BCR per trasferire dati al di fuori dell’UE.

SCC (Clausole contrattuali standard)Condizioni obbligatorie da includere nei contratti di trasferimento delle informazioni
BCR (Regole aziendali vincolanti)Politiche per proteggere i dati personali acquisiti al di fuori dello Spazio Economico Europeo (SEE) e regole per la condivisione di tali dati con società affiliate al di fuori del SEE

La differenza con la decisione di adeguatezza sta nel fatto che non è necessario seguire procedure come le SCC o le BCR.

La decisione di adeguatezza per il Giappone è stata annunciata durante il vertice regolare tra Giappone e UE nel luglio 2018 (2018), con l’intenzione di avanzare verso un quadro operativo per il trasferimento dei dati personali. Successivamente, il 23 gennaio 2019 (2019), il Giappone ha ricevuto la decisione di adeguatezza, e si è accolta con favore la decisione reciproca tra UE e Giappone di riconoscere un livello equivalente di protezione dei dati personali.

Quali obblighi hanno le aziende soggette al GDPR?

Quali obblighi hanno le aziende soggette al GDPR?

Le aziende soggette al GDPR devono adempiere principalmente a due obblighi:

  • Nominare un rappresentante nell’UE/Regno Unito
  • Includere informazioni specifiche nella propria politica sulla privacy

Di seguito, spiegheremo nel dettaglio ciascuno di questi aspetti.

Nominare un rappresentante nell’UE/Regno Unito

L’articolo 27 del GDPR stabilisce che, in caso di applicazione extraterritoriale del GDPR, le aziende devono designare un rappresentante con sede nell’Unione Europea o nel Regno Unito.

Il rappresentante di cui si parla è una persona fisica o giuridica designata per iscritto dal titolare del trattamento o dal responsabile del trattamento, che rappresenta il titolare o il responsabile per quanto riguarda i loro obblighi sotto il GDPR.

Non tutte le aziende che operano all’interno dell’UE sono tenute a nominare un rappresentante. Le aziende esentate da questo obbligo sono quelle per cui (articolo 27 del GDPR):

  • Il trattamento dei dati non è occasionale, non include il trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati, e considerando la natura, il contesto, l’ambito e gli scopi del trattamento, è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche
  • Non sono autorità pubbliche o organismi pubblici

Riferimento: Commissione per la protezione delle informazioni personali | ‘Traduzione provvisoria in giapponese del Regolamento generale sulla protezione dei dati (GDPR)[ja]

Includere informazioni specifiche nella politica sulla privacy

Le aziende soggette al GDPR devono indicare nella loro politica sulla privacy la designazione di un rappresentante.

Sanzioni per la mancata nomina di un rappresentante

Disposizioni sulle sanzioni

È importante prestare attenzione al fatto che, nonostante si rientri nell’ambito di applicazione del GDPR, la mancata nomina di un rappresentante comporta l’applicazione di sanzioni. Le sanzioni possono arrivare fino a un massimo di 1.000 euro o al 2% del fatturato globale, a seconda di quale sia l’importo maggiore (articolo 84, paragrafo 4, del GDPR).

Le mansioni richieste all’agente

Agente donna

Quando si rientra nell’ambito di applicazione del GDPR, è necessario nominare un agente. Ma quali sono le mansioni richieste a tale figura? Di seguito, spiegheremo in dettaglio le mansioni dell’agente.

Gestione dei registri ai sensi dell’articolo 30

I responsabili o i processori che si trovano nei paesi dell’UE devono condividere i propri registri di trattamento con l’agente. Inoltre, l’agente è tenuto a conservare questi registri allo stesso modo dei responsabili o dei processori (Articolo 30 del GDPR).

I contenuti che devono essere registrati includono:

  • Nomi e contatti del responsabile, del DPO (Data Protection Officer) e simili
  • Finalità del trattamento
  • Categorie di soggetti dei dati e tipi di dati trattati
  • Periodo di conservazione
  • Tempi di cancellazione

Il soggetto dei dati è una persona fisica identificata o identificabile, ovvero l’individuo a cui si riferiscono i dati personali.

In caso di richiesta da parte dell’autorità di controllo, è necessario rendere disponibili tali registri di trattamento.

Gestione delle richieste da parte dei soggetti dei dati o dell’autorità di controllo

In caso di richieste da parte dei soggetti dei dati o dell’autorità di controllo, l’agente deve agire al posto del responsabile o del processore per rispondere ai soggetti dei dati o all’autorità di controllo (Paragrafo 3 dell’Articolo 27 del GDPR). Ad esempio, se un soggetto dei dati fa una richiesta, il responsabile deve fornire le informazioni entro un mese (Paragrafo 3 dell’Articolo 12 del GDPR). Inoltre, l’agente deve rispondere alle richieste dell’autorità di controllo e collaborare con essa (Articolo 31 del GDPR).

Domande frequenti sull’applicazione del GDPR

FAQ

Risponderemo di seguito alle domande più frequenti riguardanti l’applicazione del GDPR (Regolamento Generale sulla Protezione dei Dati).

È necessario adeguarsi al GDPR se non si prevede di espandersi all’estero?

In linea di principio, se non si prevede un’espansione all’estero, non è necessario adeguarsi al GDPR (General Data Protection Regulation). Tuttavia, anche se non si opera all’estero, è necessario prestare attenzione se esiste la possibilità di acquisire dati da individui all’interno dell’UE.

Ad esempio, si possono considerare le seguenti situazioni:

  • Gestire un sito di e-commerce e ricevere domande o ordini da individui all’interno dell’UE
  • Acquisire identificatori online di individui all’interno dell’UE (come indirizzi IP o cookie) attraverso la navigazione del sito
  • Ottenere indirizzi email in risposta a richieste da individui all’interno dell’UE

Anche se si acquisiscono dati personali di individui all’interno dell’UE senza intenzione, non si rientra nell’ambito di applicazione geografica, quindi non è un problema non adeguarsi al GDPR.

Ricordatevi che è necessario adeguarsi al GDPR solo se si ha una sede all’interno dell’UE o, anche in assenza di una sede, se si rientra in una delle seguenti due condizioni:

  1. Se si forniscono beni o servizi a individui all’interno dell’UE
  2. Se si monitora il comportamento di individui all’interno dell’UE

Quali sono le misure necessarie per lanciare un sito di e-commerce transfrontaliero che includa l’area dell’UE?

Quando si lancia un sito di e-commerce transfrontaliero che include l’area dell’Unione Europea (UE), è possibile che si acquisiscano dati personali degli utenti all’interno dell’UE. I tipi di informazioni che potrebbero essere raccolti includono:

  • Nome
  • Indirizzo email
  • Indirizzo di residenza
  • Informazioni sulla carta di credito
  • Informazioni sull’acquisto
  • Dati di geolocalizzazione
  • Indirizzo IP e Cookie ID

Se si raccolgono queste informazioni, esse rientrano nella categoria dei dati personali definiti dal GDPR (General Data Protection Regulation), e pertanto è necessario gestirle in conformità con le norme del GDPR.

Un buon punto di partenza è rivedere e aggiornare la propria politica sulla privacy e pubblicare un avviso di privacy conforme al GDPR.
Articolo correlato: Spiegazione dei punti chiave per creare una politica sulla privacy conforme al GDPR![ja]

Inoltre, seguite i seguenti passaggi:

  1. Creare una nuova politica sui cookie e ottenere il consenso all’uso dei cookie dai visitatori al primo accesso al sito e-commerce
  2. Ottenere il consenso all’elaborazione dei dati personali quando si raccolgono informazioni personali
  3. Implementare misure di sicurezza per proteggere i dati personali e prevenire fughe di informazioni
  4. Nominare un rappresentante

Inoltre, se necessario, rivedere le regole aziendali interne, creare manuali per conformarsi al GDPR e rivedere i termini dei contratti con i fornitori esterni.

Quali sono le differenze tra il GDPR e il UK GDPR?

Il UK GDPR è il Regolamento Generale sulla Protezione dei Dati del Regno Unito. Il UK GDPR è entrato in vigore il 1° gennaio 2021 (2021), in seguito all’uscita del Regno Unito dall’Unione Europea. Il GDPR è una normativa dell’UE e non è applicabile nel Regno Unito.

Il UK GDPR si applica nei seguenti casi:

  1. Quando si forniscono beni o servizi a persone fisiche all’interno del Regno Unito
  2. Quando si monitora il comportamento di persone fisiche all’interno del Regno Unito

Se si svolge attività sia nel Regno Unito che nell’UE, è necessario conformarsi sia al GDPR che al UK GDPR.

Riepilogo: In caso di dubbi sull’ambito di applicazione del GDPR, consultate un esperto

Esperto maschile

Se avete una sede nell’Unione Europea, o anche se non ne avete ma fornite beni o servizi a persone all’interno dell’UE o monitorate il loro comportamento, rientrate nell’ambito di applicazione del GDPR. Le aziende soggette al GDPR devono designare un rappresentante all’interno dell’UE e indicare chiaramente questa informazione nella loro politica sulla privacy.

Se non designate un rappresentante, potreste essere soggetti a pesanti sanzioni. Le aziende che operano o che prevedono di espandersi nell’UE devono conformarsi al GDPR designando un rappresentante.

Se non siete sicuri se il vostro business rientri nell’ambito di applicazione del GDPR, è consigliabile consultare un esperto in diritto internazionale.

Guida alle misure adottate dal nostro studio

Lo studio legale Monolith possiede una vasta esperienza in IT, e in particolare nel diritto legato a Internet. Negli ultimi anni, il business globale si è notevolmente espanso e la necessità di controlli legali da parte di esperti è in costante aumento. Il nostro studio offre soluzioni in materia di diritto internazionale.

Aree di competenza dello studio legale Monolith: Diritto internazionale e affari esteri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Stema è una rappresentazione ingiusta? Movimenti verso un rafforzamento della regolamentazione e spiegazione sulla Legge Giapponese sulla presentazione dei premi

Stema è una rappresentazione ingiusta? Movimenti verso un rafforzamento della regolamentazione e.

General Corporate

Punti di attenzione nella divulgazione delle informazioni sugli investimenti? Spiegazione della regolamentazione della 'Legge giapponese sul commercio dei prodotti finanziari' e altro

Punti di attenzione nella divulgazione delle informazioni sugli investimenti? Spiegazione della .

General Corporate

Cosa sono i punti da controllare quando si stipula un contratto di fornitura di dati?

Cosa sono i punti da controllare quando si stipula un contratto di fornitura di dati?

General Corporate

Da 'Adulti' a 18 anni da 20 anni. Cosa cambia con la revisione del 'Codice Civile Giapponese'?

Da 'Adulti' a 18 anni da 20 anni. Cosa cambia con la revisione del 'Codice Civile Giapponese'?

General Corporate

Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'? Spiegazione di un avvocato

Cosa sono la 'Legge sulla protezione delle informazioni personali' e le 'informazioni personali'.

General Corporate

Cos'è il sistema di multe della 'Legge Giapponese sui Dispositivi Farmaceutici e Medici'? Spiegazione delle azioni mirate e dei casi in cui viene ridotta

Cos'è il sistema di multe della 'Legge Giapponese sui Dispositivi Farmaceutici e Medici'? Spiega.

General Corporate

Che cosa sono gli affari legali internazionali necessari per l'espansione all'estero? Spiegazione delle competenze necessarie e dei contenuti del lavoro

Che cosa sono gli affari legali internazionali necessari per l'espansione all'estero? Spiegazion.

General Corporate

Spiegazione del 'Closing Aggiuntivo' nei Contratti di Investimento: Metodi Appropriati e Contenuti del Contratto

Spiegazione del 'Closing Aggiuntivo' nei Contratti di Investimento: Metodi Appropriati e Contenu.

General Corporate

Cinque punti da controllare per stipulare un corretto contratto di consulenza per le M&A

Cinque punti da controllare per stipulare un corretto contratto di consulenza per le M&A

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su