Distinguere gli EU dai non EU può essere un bagno di sangue e non serve a nulla se tu sei europeo: il GDPR si applica a TUTTI i titolari o responsabili del trattamento con sede nell'Unione, indipendententemente dalle nazionalità delle persone fisiche delle quali trattano i dati (mi pare sia l'art.3, ambito del trattamento territoriale).
Non importa che ci sia nome e/o cognome in un indirizzo perchè sia considerabile dato personale "[email protected]" se è di una persona fisica ricade nei dati che possono aiutarti ad identificare la persona e quindi dati personali. Potresti anche avere degli info@qualcosa dove il qualcosa è un dorminio di una persona fisica e quindi l'indirizzo è un dato personale della persona. Insomma, è molto più semplice chiedere il consenso a tutti che cercare di capire a chi va chiesto e chi no, anche perchè quando scrivi a chi ti ha dato il consenso ottieni risultati, quando scrivi a chi non te l'ha dato finisci nelle grinfie dei filtri antispam.
Se stai già avendo un contatto con questi, manda una email a tutti in cui gli fornisci l'informativa privacy (aggiornata per assicurarsi che sia GDPR compliant) e gli dici che ai fini di aggiornarti al GDPR richiedi un aggiornamento del consenso alla ricezione e fai cliccare un link per confermare.
PS: anche oggi, in era pre-GDPR, per le ditte italiane nella maggior parte dei casi è necessario il consenso per trattare dati personali.. il GDPR non è una grossa novità in termini di privacy o di richiesta del consenso. Lo è prevalentemente in termini di protezione del dato personale (responsabilità/tracciabilità/sanzioni), per il fatto che l'europa si "riappropria" della giurisdizione sui dati personali dei propri utenti nei confronti del resto del mondo (ma questo introduce adempimenti per il resto del mondo, non per gli europei), e per uniformare i diritti degli interessati (cancellazione/revisione/oblio/portabilità).
