x

x

Niente sbadigli e scuse: la privacy by design sembra fatta apposta per le start up

Niente sbadigli e scuse: la privacy by design sembra fatta apposta per le start up
Niente sbadigli e scuse: la privacy by design sembra fatta apposta per le start up

Parlare di privacy ad uno start-upper è un’esperienza unica: lui pensa principalmente a come promuovere e possibilmente finanziare la sua idea (che forse non è ancora un progetto) e tu lo annoi con questioni marginali, quando non del tutto inutili. Se manifesta la sua insofferenza sbadigliandoti in faccia o cercando rifugio nello smart phone non ti puoi certo meravigliare.

Eppure ci sono almeno due buone ragioni perché l’argomento privacy interessi lo start-upper addirittura nella fase embrionale, quando cioè la start-up non è neanche nata o è nata da pochissimo e sta affrontando la fase di definizione del servizio/prodotto che intende offrire sul mercato.

La prima: uno degli errori (o meglio delle lacune) che constatiamo è costituito dalla omissione di voci di contenuto giuridico nel business plan e, in particolare, volendo rimanere nel tema, della valutazione degli oneri e delle spese in materia di privacy. Beninteso, non è solo una questione economica, ma di tempo, in grado di incidere almeno in via ridotta sulla timeline e, in particolare, sul time to market.

Insomma meglio organizzarsi subito. Infatti, che si tratti di un’app, di un software, di un ecommerce, di una soluzione biomedicale, di un algoritmo, in ogni caso – sul piano economico e dei tempi – conviene considerare, già nella fase di elaborazione e sviluppo, gli adempimenti e le misure previsti dalla normativa sul trattamento dei dati personali, vale a dire, oggi, il regolamento (UE) 2016/679 (“GDPR”) e, ancora, il decreto legislativo n.196/2003 (“Codice Privacy”).

Tali adempimenti e misure non consistono solo nell’informativa, agevolmente scaricabile on line gratuitamente o a prezzi ridottissimi, ma in qualcosa di più profondo e penetrante, che richiede una sensibile presa di coscienza del fatto che la disciplina privacy, non solo esiste, ma ha (e avrà) sempre più peso nelle strutture e organizzazioni aziendali.

La seconda: proprio perché il GDPR fornisce strumenti (princìpi) che il titolare deve applicare concretamente, sarà indispensabile e opportuno, sin dall’inizio dello sviluppo del progetto, affiancare l’analisi, lo sviluppo e la sperimentazione del prodotto/servizio con l’esame del trattamento dei dati contemplati dal progetto, delle finalità del trattamento, dei relativi rischi e il conseguente studio e adozione di misure per eliminarli o ridurli. Tutti concetti, per la verità, non molto distanti dall’ordinaria valutazione economica di un progetto.

Gli strumenti a disposizione sono i princìpi di privacy by design (protezione dei dati fin dalla progettazione) e privacy by default (protezione dei dati per impostazione predefinita, introdotti dall’articolo 25 del GDPR), che, appunto, incidono (o almeno dovrebbero) sulle scelte strategiche che lo start-upper effettua in fase di stesura del business plan e della determinazione di business model.

Per cercare di semplificare una materia complessa come la privacy, lo start-upper potrebbe domandarsi:

per quali fini trattare dati personali?

il trattamento di tali dati è davvero necessario per il perseguimento dei fini?

Già in questa fase, con ogni probabilità, emergerà che è prevista la raccolta di dati superflui.

Ancora:

quali sono le modalità e i dispositivi con cui tratterò i dati?

quali eventi possono verificarsi sul trattamento dei dati e quali conseguenti rischi?

quali misure ho previsto per evitare o perlomeno ridurre i rischi?

Aggiungeremmo una ulteriore domanda raramente considerata:

come penso di “vendere” sul piano marketing le soluzioni adottate sul piano privacy?

Siamo convinti che l’applicazione pratica dei suddetti princìpi si attagli perfettamente alla natura e alla vocazione delle start up. Si tratta solo di non sbadigliare quando si parla di privacy.

 

È possibile approfondire il tema sulla privacy nella sezione Guida Regolamento UE Privacy di Filodiritto.