Se la vostra azienda serve clienti sia in Canada che nell’Unione Europea, siete probabilmente soggetti a due importanti quadri normativi sulla protezione dei dati: il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo e il Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada. Sebbene entrambe le leggi condividano l’obiettivo comune di proteggere le informazioni personali, differiscono significativamente nel loro approccio, ambito di applicazione e meccanismi di applicazione. Per le aziende italiane, comprendere queste differenze e particolarmente importante dato che il Garante per la protezione dei dati personali applica il GDPR insieme al Codice Privacy. Questa guida confronta i due quadri normativi per aiutarvi a costruire una strategia di conformita coerente.
Fondamenti filosofici
Il GDPR e un regolamento completo e prescrittivo che si applica uniformemente nei 27 Stati membri dell’UE. Si basa sul principio che la protezione dei dati e un diritto fondamentale (articolo 8 della Carta dei diritti fondamentali dell’UE). Ogni attivita di trattamento dei dati deve poggiare su una delle sei basi giuridiche enumerate nell’articolo 6. In Italia, il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, modificato dal D.Lgs. 101/2018) integra il GDPR con disposizioni specifiche nazionali.
PIPEDA e una legge basata su principi piuttosto che un regolamento prescrittivo. I dieci principi di trattamento equo delle informazioni nell’Allegato 1 forniscono un quadro flessibile che l’Office of the Privacy Commissioner of Canada (OPC) interpreta caso per caso. Questo approccio offre maggiore flessibilita ma anche minore certezza giuridica.
La Legge 25 del Quebec, che sostituisce il PIPEDA per le attivita intraprovinciali, adotta un approccio piu prescrittivo che lo avvicina al GDPR.
Ambito di applicazione
Chi e protetto
GDPR: Qualsiasi persona fisica (interessato) che si trovi nell’Unione Europea, indipendentemente dalla nazionalita o dalla residenza. Un turista canadese che naviga su un sito web durante una visita a Roma e protetto dal GDPR durante tale visita.
PIPEDA: Qualsiasi individuo le cui informazioni personali vengano raccolte, utilizzate o divulgate nel corso di un’attivita commerciale in Canada. La protezione e legata all’attivita commerciale, non alla posizione geografica dell’individuo.
Quali aziende devono conformarsi
GDPR: Qualsiasi organizzazione, ovunque nel mondo, che tratti dati personali di persone nell’UE, a condizione che offra beni o servizi a residenti dell’UE o ne monitori il comportamento (articolo 3). Nessuna soglia di fatturato, nessun volume minimo di dati. In Italia, il Garante per la protezione dei dati personali e l’autorita di controllo incaricata della supervisione.
PIPEDA: Organizzazioni del settore privato che raccolgono, utilizzano o divulgano informazioni personali nel corso di attivita commerciali. Nessuna soglia di fatturato nemmeno qui, ma la legge si applica solo alle attivita commerciali (escludendo attivita personali, giornalistiche, artistiche e governative).
Consenso
Qui i due quadri normativi divergono piu chiaramente.
GDPR: Il consenso e una delle sei possibili basi giuridiche (articolo 6). Altre basi — esecuzione contrattuale, obbligo legale, interessi legittimi — consentono il trattamento dei dati senza consenso. Quando si utilizza il consenso, deve essere liberamente prestato, specifico, informato e inequivocabile (articolo 7). Le caselle preselezionate non sono valide.
PIPEDA: Il consenso e il principale meccanismo di legittimazione. PIPEDA riconosce sia il consenso esplicito (opt-in) sia il consenso implicito, a seconda della sensibilita delle informazioni e delle ragionevoli aspettative dell’individuo. Il consenso implicito e accettabile per usi non sensibili e ragionevolmente prevedibili, cosa che non ha un equivalente diretto nel GDPR.
| Aspetto | GDPR | PIPEDA |
|---|---|---|
| Consenso esplicito | Richiesto per dati sensibili (art. 9) e determinate situazioni | Richiesto per dati sensibili |
| Consenso implicito | Non riconosciuto | Accettabile per usi non sensibili e prevedibili |
| Caselle preselezionate | Non valide (sentenza Planet49) | Generalmente accettabili per il consenso implicito |
| Basi alternative | 5 altre basi giuridiche | Eccezioni limitate (indagini, emergenze) |
| Revoca | In qualsiasi momento, con la stessa facilita del conferimento | In qualsiasi momento |
Diritti individuali
Entrambe le leggi conferiscono diritti agli individui, ma con differenze significative:
| Diritto | GDPR | PIPEDA |
|---|---|---|
| Accesso | Articolo 15: copia di tutti i dati personali | Allegato 1, Principio 9: accesso e informazione sull’uso |
| Rettifica | Articolo 16 | Allegato 1, Principio 9 |
| Cancellazione | Articolo 17: diritto all’oblio con eccezioni | Nessun diritto esplicito alla cancellazione (ma conservazione limitata) |
| Portabilita | Articolo 20: formato strutturato e leggibile da macchina | Nessun equivalente (ma previsto nel progetto C-27) |
| Opposizione | Articolo 21: diritto di opposizione al trattamento | Nessun equivalente diretto |
| Limitazione | Articolo 18 | Nessun equivalente |
| Tempo di risposta | 1 mese (prorogabile a 3) | 30 giorni (prorogabile in determinati casi) |
Il GDPR offre uno spettro di diritti piu ampio e dettagliato. Il PIPEDA si concentra sull’accesso, la correzione e il consenso come principali meccanismi di controllo.
Trasferimenti internazionali di dati
GDPR: I trasferimenti di dati personali al di fuori dello SEE sono rigorosamente regolamentati dal Capitolo V del GDPR. Richiedono una decisione di adeguatezza della Commissione Europea, Clausole Contrattuali Tipo (SCCs), Norme Vincolanti d’Impresa (BCRs) o un altro meccanismo approvato. Il Canada beneficia di una decisione di adeguatezza parziale per i trasferimenti coperti dal PIPEDA (ma non per i trasferimenti a province con leggi provinciali).
PIPEDA: Nessuna restrizione specifica sui trasferimenti internazionali di dati. L’organizzazione che trasferisce i dati resta responsabile della loro protezione in conformita con i dieci principi, indipendentemente dal paese di destinazione. La Legge 25 del Quebec impone tuttavia requisiti di trasferimento piu rigorosi paragonabili a quelli del GDPR.
Notifica delle violazioni
GDPR: Notifica all’autorita di controllo entro 72 ore (articolo 33). In Italia, la notifica va presentata al Garante per la protezione dei dati personali. Notifica alle persone interessate senza indebito ritardo se il rischio e elevato (articolo 34).
PIPEDA: Notifica all’OPC e alle persone interessate il prima possibile se la violazione crea un rischio reale di danno significativo (sezioni 10.1-10.3). Nessun termine rigoroso di 72 ore, ma la notifica deve essere tempestiva. Registrazione obbligatoria di tutte le violazioni per 24 mesi.
Sanzioni e applicazione
| Aspetto | GDPR | PIPEDA |
|---|---|---|
| Sanzione massima | 20 M EUR o 4% del fatturato globale | 100.000 CAD (solo notifica violazioni) |
| Autorita di controllo | DPA nazionali (Garante in Italia, CNIL, ecc.) | OPC + Tribunale Federale |
| Potere sanzionatorio diretto | Si | No (tranne violazioni) — OPC raccomanda, il Tribunale decide |
| Azione privata | Si (articolo 82) | Si (tramite Tribunale Federale dopo decisione dell’OPC) |
| Giurisprudenza | Ampia dal 2018 | Meno sviluppata |
Il GDPR possiede un arsenale sanzionatorio incomparabilmente piu potente. Il Garante italiano ha imposto sanzioni significative negli ultimi anni. Tuttavia, il progetto di legge C-27 del Canada introdurrebbe sanzioni pecuniarie amministrative fino a 10 milioni di CAD o al 3% dei ricavi lordi globali, riducendo significativamente il divario tra i due quadri normativi.
DPO vs Responsabile della privacy
GDPR: La designazione di un Responsabile della Protezione dei Dati (DPO) e obbligatoria per le autorita pubbliche, le organizzazioni le cui attivita principali comportano un monitoraggio regolare e sistematico su larga scala, o il trattamento su larga scala di dati sensibili (articolo 37). In Italia, il Garante ha fornito linee guida specifiche sulla designazione del DPO.
PIPEDA: L’Allegato 1 richiede la designazione di una persona responsabile della conformita (Principio 1 — Responsabilita), ma senza i criteri dettagliati del GDPR. La persona con la massima autorita e responsabile per impostazione predefinita.
Valutazioni d’impatto
GDPR: Una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e obbligatoria per i trattamenti che probabilmente comportino un rischio elevato per i diritti e le liberta delle persone fisiche (articolo 35). Il Garante italiano pubblica elenchi dei trattamenti che richiedono una DPIA.
PIPEDA: Nessun obbligo formale di condurre valutazioni d’impatto, sebbene l’OPC le raccomandi vivamente come buona pratica. La Legge 25 del Quebec, al contrario, rende obbligatorie le Valutazioni d’Impatto sulla Privacy (PIA) per determinati progetti.
Strategia di conformita per aziende con doppia giurisdizione
Se la vostra azienda serve clienti sia in Canada che nell’UE, ecco un approccio pratico:
1. Partite dalla conformita al GDPR. I requisiti del GDPR sono generalmente piu rigorosi. Una solida conformita al GDPR copriria la maggior parte degli obblighi PIPEDA.
2. Aggiungete elementi specifici del PIPEDA. Documentate la vostra conformita con i dieci principi, stabilite procedure di gestione delle richieste che rispettino le tempistiche PIPEDA e assicuratevi che la vostra informativa sulla privacy affronti i requisiti specifici canadesi.
3. Gestite le differenze nel consenso. Applicate il consenso opt-in (GDPR) per i visitatori europei e gestite il consenso implicito secondo i criteri dell’OPC per i visitatori canadesi.
4. Preparatevi per la Legge 25. Se servite clienti del Quebec, conformatevi anche alla Legge 25, che e piu rigorosa del PIPEDA.
5. Documentate tutto. Mantenete registri dei trattamenti (articolo 30 del GDPR), un registro delle violazioni (sia PIPEDA che GDPR) e registri di tutte le richieste e risposte.
Verificate la vostra conformita in entrambe le giurisdizioni con il nostro scanner di conformita gratuito.
Conclusione
Il GDPR e il PIPEDA condividono l’obiettivo di proteggere le informazioni personali, ma lo perseguono attraverso filosofie e meccanismi diversi. Il GDPR e prescrittivo, con diritti ampi e sanzioni deterrenti. Il PIPEDA si basa su principi, con un approccio piu flessibile ma sanzioni attualmente limitate (sebbene il progetto C-27 miri a cambiare questo). Per le aziende che operano in entrambe le giurisdizioni, la strategia piu efficace e costruire sulla conformita al GDPR e integrare con requisiti specifici del PIPEDA. L’inazione non e un’opzione: i rischi normativi su entrambe le sponde dell’Atlantico continuano a crescere.