Nonostante si tratti di imprese di nuova formazione, le startup innovative non sono esenti in alcun modo dagli adempimenti che il Regolamento europeo sulla protezione dei dati personali ha sancito in un’ottica di compliance aziendale. Nelle prossime righe, dunque, vedremo insieme tutto quello che c’è da sapere.
Startup innovative e GDPR
Alcune delle semplificazioni pensate per l’avviamento delle nuove attività potrebbero indurre gli startupper a ritenersi esenti dagli obblighi che derivano dal GDPR. In realtà questo non è affatto vero. Innanzitutto dobbiamo chiarire che vengono definite startup innovative tutte quelle attività ad alto contenuto tecnologico che hanno come core business lo sviluppo, la produzione, la commercializzazione di beni e servizi innovativi.
Tra le principali ricordiamo piattaforme online, hardware, software, ma anche imprese a vocazione sociale che prestano la loro opera nei servizi di assistenza sociale, sanitaria, educazione, istruzione e formazione, valorizzazione del patrimonio culturale, e altre ancora. Nonostante si tratti di aziende di nuova costituzione, esse non sono ovviamente esenti dalle direttive del Regolamento europeo sulla protezione dei dati personali (REG. UE 2016/679). Tra i principali obblighi possiamo riportare:
- Individuazione di tutte le attività di raccolta e trattamento dati personali (clienti, dipendenti, soci, collaboratori, fornitori e altre.
- Mantenimento e aggiornamento di un Registro dei trattamenti, in grado di comprendere tutte le tipologie di operazioni effettuate nel trattamento dei dati personali raccolti.
Cosa prevede il GDPR
Il GDPR, all’art. 30, prevede l’obbligatorietà del registro. Sono esclusi da questo discorso solamente quei soggetti con meno di 250 dipendenti che effettuano un trattamento dei dati in maniera occasionale, oppure in quei casi dove il trattamento non presenta rischi per i diritti e le libertà dell’interessato. Per le startup altamente informatizzate oppure che svolgono la loro attività principale attraverso piattaforma, sito web, e-commerce o altri, deve essere posta un’attenzione particolare alla compliance on web.
Sono moltissimi gli adempimenti da non sottovalutare, da quelli sulla privacy relativi a siti internet, allo sviluppo di applicazioni e piattaforme e-commerce, in merito al consenso al trattamento per newsletter, cookies, e altre attività analoghe. Il sito statico, ovvero il sito vetrina, è il più semplice da adeguare lato privacy, dal momento che è solamente necessario sia dotato di una informativa privacy dove vengono indicate le finalità perseguite e quanto richiesto dall’art. 13 GDPR.
Nel sito dinamico, invece, che persegue anche finalità di vendita di prodotti, di profilazione, per essere compliant sarà necessario sia presente un’informativa chiara e completa e chiara e un apposito box in grado di raccogliere il consenso rivolto esplicitamente alle attività di profilazione e marketing.
In particolare, è opportuno prestare attenzione alle ultime linee guida emesse dall’Autorità Garante nazionale che ha previsto una razionalizzazione della materia
Inutile sottolineare come il rispetto di quanto previsto dal GDPR sia in alcuni casi di difficile comprensione per i non addetti ai lavori, ma anche di come un errore in tal senso possa costare (letteralmente) molto caro.
Questo è il motivo per cui è importante richiedere una consulenza come quella di Sportello Innovazione, che permette di creare, innovare e far crescere la propria impresa attraverso dei servizi ritagliati su misura delle proprie esigenze.
Jack Smith 
Luca Rossi 
Shadux Minerva