Nel momento in cui si avvia un’impresa startup è necessario tener conto delle nuove normative Gdpr. I dati sono l’elemento fondamentale del business 4.0, infatti. E’ bene raccogliere dati ed è ancor più importante farlo in maniera corretta e non trascurare la loro protezione e cura. In questo modo una startup può non solo tracciare la strada percorsa, aggiustare la rotta e migliorare le performance, ma anche evitare di trasformare un potenziale vantaggio competitivo nella causa di fallimento dell’azienda.
Una fotografia delle startup italiane oggi
Il numero di startup innovative in Italia è in netto aumento negli ultimi anni. Durante l’ultimo anno, in particolare, si è registrata una crescita di circa il 30% rispetto al precedente, numeri che fanno ben sperare per il futuro dell’economia italiana ed europea. Gli imprenditori hanno sicuramente beneficiato delle agevolazioni fiscali e semplificazioni burocratiche che sono state introdotte negli ultimi anni, come l’aumento al 30% degli incentivi per gli investimenti in equity, il super ed iper ammortamento, il credito d’imposta per gli investimenti in ricerca e la nuova modalità di costituzione digitale gratuita.
Le startup, in Italia, hanno ad oggetto, per la maggior parte, la produzione di servizi ICT, produzione software e attività dei servizi di informazione. Soprattutto in quest’ultimo caso è fondamentale la creazione di una community di utenti, fidelizzati, che utilizzano i servizi della neoimpresa.
Creare un database significa mettere insieme dati personali e, per questo, è necessario rispettare le norme in materia di data protection come, appunto, il GDPR.
Una caratteristica delle startup (inutile nasconderlo) è l’elevato tasso di mortalità, superiore al 50%. Le cause sono tante e, da una ricerca effettuata da CB Insight, è emerso che, tra le 20 più frequenti cause di fallimento, ci sono i problemi legali. Dopo il 25 maggio 2018, quindi, è necessario fare molta attenzione al modo in cui vengono trattati i dati, per evitare di trasformare un potenziale vantaggio competitivo nella causa di fallimento dell’azienda.
Il valore dei dati
La forza di una startup, in questo momento storico, è proprio questo: conoscere il proprio cliente e personalizzare la comunicazione e la relativa offerta di prodotti o servizi.
Per poter fare tutto ciò è necessario effettuare dei trattamenti di dati personali. Profilazione, archiviazione, creazione di un database, inviare una newsletter: sono tutti trattamenti di dati. E per poter trattare dati personali è necessario rispettare le norme. Oltre ad essere necessario, è anche molto utile: un database GDPR compliant è un database pulito, leggibile e utilizzabile in diversi modi.
Il consenso, poi, non è l’unica base giuridica per poter trattare dati, anzi. Ce ne sono diverse altre che, se utilizzate nel modo giusto, semplificano molto il lavoro all’imprenditore.
Un database, se ben costituito e predisposto, può rappresentare autonomamente una forma di guadagno, direttamente o indirettamente, soprattutto in questo periodo storico in cui la contaminazione tra imprese è diventata una strategia di mercato utilizzatissima. Un esempio (banale ma che rende l’idea) può essere il seguente: un’azienda che vende cucchiai e un’azienda che vende forchette potrebbero condividere i rispettivi database clienti per ampliare il loro pubblico ricevendone entrambi grandissimi benefici.
Per non rischiare di commettere gravi errori, però, è necessario aver fatto tutto a norma.
Gli strumenti offerti e gli obblighi imposti dal GDPR
È importante, quindi, partire con il piede giusto nel trattamento di dati personali, tenendo in considerazione tutti gli strumenti offerti e gli obblighi imposti dal GDPR.
Vediamo quali sono ed in che modo possono tornare utili.
Anzitutto è necessario tener ben presente i 3 principi fondamentali: accountability, privacy by design e privacy by default.
- Accountability significa responsabilizzazione. È nelle mani del titolare la responsabilità dei trattamenti e la sicurezza dei dati e, soprattutto, essere in grado di dimostrare tutto. Per questo è fondamentale tener traccia di tutto ciò che riguardi dati personali: trattamenti svolti, finalità, basi giuridiche, tempi di conservazione, misure di sicurezza.
- Privacy by design o privacy sin dalla progettazione, è il principio secondo il quale bisogna tener conto della privacy sin dalla progettazione di un trattamento. Ho intenzione di raccogliere mail per inviare una newsletter? Dove le conserverò? Per quanto tempo? Banalmente queste possono alcune domande da porsi quando si effettua un nuovo trattamento. Più il trattamento è invadente, come, ad esempio, quando si entra in contatto con dati particolari (vedi art. 9 GDPR) o si utilizzano strumenti tecnologici innovativi, maggiormente sarà necessario dare conto del processo, anche effettuando una valutazione d’impatto privacy.
- Privacy by default invece significa privacy per impostazione predefinita. Trattare solo i dati strettamente utili alla finalità, evitando trattamenti superflui. Questo significa, anche, fare una valutazione sulla data retention, cioè sulla conservazione. Non sarà possibile conservare i dati all’infinito, ma bisognerà pensare, ad esempio, a un termine di cancellazione.
Registro dei trattamenti e valutazione d’impatto privacy
Tra gli obblighi del GDPR vi è il registro dei trattamenti. Il registro è sostanzialmente una mappa dei trattamenti svolti dal titolare (in questo caso l’impresa). Vi sono riportati il numero dei trattamenti, le basi giuridiche, le finalità e le misure di sicurezza. Risulta molto utile, al fine di avere un quadro generale dei trattamenti effettuati: come sono stati raccolti i dati, a cosa servono, dove sono conservati e come sono protetti. L’Autorità Garante per la protezione dei dati personali ha pubblicato un modello di registro scaricabile dal sito.
Altro strumento utile è la valutazione d’impatto privacy, da effettuarsi quando i trattamenti sono particolarmente invadenti o vi siano rischi elevati per i diritti e le libertà delle persone coinvolte.
Quando la startup intende trattare dati particolari (ad esempio dati relativi alla salute, dati genetici o dati biometrici) o effettuare un monitoraggio di interessati regolare e sistematico, su larga scala, potrebbe essere necessario nominare un Data Protection Officer, ovvero una figura specializzata, interna all’azienda o esterna, che si occupi di tutto ciò che concerne il trattamento di dati personali.
Quando i dati rappresentano un asset
I dati nella maggior parte dei casi rappresentano un asset fondamentale della startup. Quasi sempre nei pitch di presentazione, si fa riferimento al numero di clienti serviti, che tendenzialmente vengono (o dovrebbero essere) registrati e ricontattati al fine di essere fidelizzati, rappresentando il database di partenza della società.
Cosa succederebbe se si scoprisse, ad esempio durante una due diligence finalizzata ad un investimento, o, ad una potenziale exit, che tutti quei dati sono stati raccolti in maniera irregolare e sono inutilizzabili?
Si rischierebbe davvero di perdere mesi di lavoro, se non anni, perché non si è partiti in modo corretto, sottovalutando quello che è un aspetto fondamentale, cioè la data protection.
Un database non compliant espone l’azienda a rischi elevati: controlli e sanzioni, non essere in grado di rispondere alle richieste degli interessati, non saper gestire un databreach oppure gravi rischi reputazionali.
Prima si affronta la questione, meglio sarà possibile risolverla e soprattutto in maniera più economica.
Essere compliant al GDPR non significa solamente evitare una potenziale sanzione. Trattare i dati dei propri clienti in maniera trasparente e affidabile pone l’azienda su un piano diverso rispetto i concorrenti che non offrono determinate garanzie. Questo rappresenta un vantaggio competitivo da spendere sul mercato, anche in ottica di comunicazione, in un mondo dove la customer care è sempre più centrale.
