Per le Startup la privacy non è solo un obbligo di legge ma, nella maggior parte dei casi, è il business stesso. Vediamo come gestirla al meglio e senza “eccessi di carta”.

Che una startup sia privacy-esente in quanto già sommersa da altre priorità emergenziali (adempimenti burocratici e business plan da equilibristi) è una banalità tanto diffusa quanto infondata: dal momento in cui appare quell’ “S.r.l.” tanto agognato, scattano tutti gli obblighi previsti dalla normativa privacy di riferimento, GDPR (Regolamento UE 2016/679) in primis.

Qualche consiglio

Premesso che non esistono aziende, da ditta individuale a multinazionale, che non trattino dati personali e, di conseguenza, non siano obbligate ad applicare le normativa privacy (ricordiamo che per “dato personale” si intende QUALSIASI informazione relativa a persona fisica identificata o identificabile) allo startupper consigliamo di partire dalle fondamenta del Modello Privacy, ovvero:

  • Data mapping: fare un bell’elenco dei principali processi aziendali e descrivere i dati personali coinvolti (dai nominativi ai dati di contatto, dai numeri di telefono agli indirizzi e-mail, etc.) riportando anche il “perché” tali dati debbano essere utilizzati per il proprio business;

  • Registro dei trattamenti: predisporlo prendendo come riferimento il modello semplificato proposto dal Garante Privacy;

  • Valutazione dei rischi: ebbene sì, “s’ha da fare”, perché è lo strumento che ci permette di capire quali misure di sicurezza adottare per garantire una protezione adeguata dei dati personali trattati. A tal proposito, il Garante stesso suggerisce di utilizzare (ad oggi ancora sprovvisto di lingua italiana) lo strumento dell’ENISA: Online Platform.

Tutto a posto?

Non esattamente ma, almeno, una solida base di partenza l’abbiamo costruita.

Da qui possiamo cominciare il cammino finalizzato a garantire la sicurezza dei dati personali, decidendo le misure di sicurezza da adottare che possiamo suddividere in due aree:

  • Misure di sicurezza organizzative

  • Misure di sicurezza tecniche.

Qualche misura organizzativa

  • Formazione a tutto il Personale: almeno un percorso base che istruisca su definizioni, scopo e obblighi del GDPR (Regolamento UE 2016/679);

  • Informative costruite ad hoc in relazione agli Interessati (le persone a cui si riferiscono i dati) e alle finalità e modalità del trattamento dei loro dati personali.

  • Privacy policy del sito web o della app: non sottovalutate la parte più visibile della vostra attività!

Qualche misura tecnica

Tali misure sono finalizzate a proteggere sia gli ambienti fisici che informatici. È necessario verificare, ad esempio, l’opportunità di installare allarmi, videosorveglianza, accessi con badge, registro dei Visitatori, etc.

Per la parte informatica, consigliamo di partire dalle misure minime elencate nel vecchio (e abrogato) Allegato B del Codice Privacy, ancora accessibile qui, in cui si parla di sane ovvietà quali: password sicure, firewall, patch di sicurezza, etc.

In conclusione: il GDPR è costruito sul principio di “responsabilizzazione” che permette alle Aziende di scegliere il “come” proteggere i dati personali trattati. Questo non significa “liberi tutti”, ma impone all’Imprenditore di decidere le adeguate misure di sicurezza per poterle, poi, giustificare e “difendere” in caso di ispezioni da parte della Guardia di Finanza o del Garante Privacy.