A chi si applica il GDPR

Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea.

Significa che la sede dell’organizzazione non è rilevante e che il GDPR si applica anche alle aziende statunitensi, se queste trattano i dati degli europei.

L’organizzazione in questo contesto significa un’azienda, un istituto o un’istituzione nazionale, così come un’associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono (altre) persone fisiche.

Il GDPR si applica anche a tutti i tuoi esecutori contrattuali (responsabili del trattamento), indipendentemente da dove si trovino (nell’UE o altrove). Ma la responsabilità che siano conformi al GDPR è (anche) tua.

Non è possibile, infatti, trasferire le responsabilità sui partner contrattuali, perciò è molto importante verificare che tutti i partner siano conformi al GDPR e stipulare con essi un contratto.

In questo contesto bisognerà fare molta attenzione all’informatica cloud (incluse le piattaforme di email marketing) e ai fornitori di marketing non europei (maggiormente statunitensi). Molti di loro si occupano del marketing a forfait (o neanche) e secondo la “legge del minimo sforzo”.

Avere responsabili di trattamento di dati al di fuori dell’UE rappresenta un rischio più elevato di discordanze e di conseguenza, sanzioni.