In termini generali, il GDPR prevede che i dati personali di un cittadino UE non possano più essere trasferiti, condivisi, vendibili, archiviabili, o utilizzati senza il consenso informato ed espresso del titolare dei dati. Il consenso può essere ritirato in ogni momento e ogni qualvolta i termini dell’accordo sottostante vengano emendati sarà necessario ricevere un nuovo consenso. Tra gli altri diritti, viene inoltre regolato il c.d. “diritto all’oblio”, ovverosia il diritto di vedere i propri dati cancellati da qualunque sistema di archiviazione. Ai sensi del GDPR, una società che abbia i mezzi e le finalità di raccogliere e archiviare dati personali di residenti UE è per definizione un c.d. data controller con contestuale responsabilità a gestire tali dati in totale sicurezza. Se poi i dati vendono inoltrati a una terza parte per il suo processamento, tale parte sarà generalmente considerata un c.d. data processor e il data controller avrà la responsabilità sul suo operato.

Il GDPR trova applicazione in riferimento alle società non-UE se esse intendono fornire servizi agli interessati in uno o più Stati membri dell’Unione. Ad esempio, il GDPR prevede che <<Mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione>> [Sezione (23) del Preambolo al GDPR].

Nel caso specifico del rapporto tra una società italiana e la sua sussidiari statunitense, una delle aree da valutare rimane quella del tipo (e quantità) di informazioni che la sua sussidiaria riceve dalla casa madre relativamente a residenti UE (dipendenti inclusi). In altre parole, bisogna valutare con attenzione se la casa madre trasferisce dati personali di residenti UE alla sussidiaria USA.

Va infine segnalato che, anche se l’autorità regolamentare dovesse rinvenire un interesse da parte di una società non-UE a fornire servizi agli interessati in uno o più Stati membri dell’Unione, si dovrebbe comunque valutare: (1) se le autorità Europee per la protezione dei dati siano interessate a intraprendere un’azione esecutiva contro società che hanno pochi (se non addirittura nulli) contatti Europei; (2) se le corti Europee possano determinare che l’applicazione extra-territoriale del GDPR confligga con i principi processuali USA (in particolare, subject matter jurisdiction e personal jurisdiction) e/o vada oltre l’autorità della Commissione Europea; e (3) anche in ipotesi di successo di un giudizio esecutivo, se sia possibile richiedere l’applicazione coattiva della sentenza straniera negli USA.

È tuttavia consigliabile rivolgersi ad un avvocato che possa valutare il caso specifico per quindi consigliare quali siano le formalità da implementare in questo tipo di comunicazioni.