Startup e privacy: profili di compliance e accorgimenti pratici

Quando un’impresa inizia a svolgere la propria attività, specie se con risorse finanziarie limitate come spesso accade in fase di startup, essa rischia di trascurare questioni di compliance legale che, pur sembrando secondarie, in realtà rivestono un’importanza primaria; ed anzi, esse acquisiranno sempre maggior rilievo, proporzionalmente al progresso scientifico e tecnologico cui ogni settore sta andando incontro. Nel novero di tali questioni rientra certamente il diritto alla protezione dei dati personali, ormai universalmente riconosciuto come “diritto di libertà”(1) di rango costituzionale, e in quanto tale deve essere garantito e tutelato in una sempre crescente varietà di situazioni, le quali presentano di volta in volta caratteristiche del tutto nuove e non specificamente previste dalla legge.

1. La normativa vigente

Ai sensi del D.lgs 30 giugno 2003 n. 196 “Codice della privacy”, ogni soggetto che esercita un’attività a contatto con il pubblico deve individuare gli elementi della propria attività che rilevano ai fini privacy, ed adeguarli alle misure imposte dalla legge a tutela della riservatezza dei dati acquisiti. Di seguito esaminiamo, senza pretese di esaustività, alcuni concetti chiave della normativa in parola.

  • Interessato: la persona fisica cui si riferiscono i dati personali. La legge attribuisce agli interessati una serie di diritti che devono obbligatoriamente essere garantiti ad opera di coloro che ne trattano i dati personali.
  • Dato personale: qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
  • Trattamento: qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
  • Titolare del Trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. In altre parole, è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
  • Responsabile del Trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

 

Il soggetto interessato deve sempre prestare il proprio consenso informato al trattamento dei propri dati personali: in assenza, il Titolare potrebbe incorrere inresponsabilità di natura civile, amministrativa o penale (per il reato previsto e punito dall’art. 167, c.1 del Codice della privacy). Inoltre, il trattamento deve avvenire per le sole finalità dichiarate dal Titolare e accettate dall’Interessato, e nel rispetto del principio di proporzionalità, anche in termini di durata del trattamento stesso.

Queste prime, fondamentali definizioni fanno comprendere come un soggetto, anche startup, nell’esercizio della propria attività professionale, difficilmente possa sottrarsi al campo di applicazione delle disposizioni in esame. Così, una startup che, ad esempio, gestisca uno spazio web destinato all’incontro di altri soggetti su unmarketplace, sarà certamente un Titolare del trattamento dei dati personali che raccoglierà, e dovrà così individuare al proprio interno le figure sopra menzionate.

Saranno Interessati tutti coloro che navigheranno sul sito, in quanto lasceranno – almeno - una traccia IP, dalla quale si potrebbe risalire alla loro identità personale.

Ci sarà ancor più vero nel caso di siti internet che richiedano una registrazione o la creazione di un account personale, tramite il quale magari caricare contenuti e informazioni: il che, giuridicamente, costituisce gioco forza un trattamento di dati personali da parte del proprietario e gestore dello spazio web.

2. Le nuove disposizioni in vigore dal 25 maggio 2018

Pur dovendo necessariamente attendere l’esito del lavoro interpretativo, normativo e applicativo delle Autorità di Vigilanza dei Paesi membri nonché delle Corti, è opportuno dare conto delle principali novità introdotte dal Regolamento UE 2016/679 (anche detto GDPRGeneral Data Protection Regulation), che consentirà di eliminare le discrasie formatesi nel tempo tra gli ordinamenti dei vari Stati membri.

Tale Regolamento si prefigge l’obiettivo di disciplinare a livello normativo gli aspetti indissolubilmente legati allo sviluppo tecnologico degli ultimi decenni, tra cui spiccano le questioni inerenti al diritto all’oblio, al diritto alla portabilità dei dati, al diritto ad essere informati in caso di violazione dei dati. Certamente le startup che operano sul web, o che comunque raccolgono e processano una moltitudine di dati personali, si trovano a dover affrontare queste tematiche: si pensi, ad esempio, al fatto che le imprese fanno sempre più ricorso ai metodi basati sulla scienza dei Big Data per definire le proprie strategie.

Nel complesso, il GDPR doterà i soggetti Interessati di poteri di informazione e controllo nei confronti del Titolare sul trattamento dei propri dati personali; nel contempo, per , il Legislatore ha dovuto – giustamente - operare un bilanciamento rispetto ai valori, altrettanto meritevoli di tutela, della trasparenza e della libera cedibilità delle informazioni. E’ evidente, infatti, come ormai le informazioni relative alla persona di ciascuno, nonché ai suoi consumi ed abitudini, presentino un valore economico centrale, che attira l’ago della bilancia verso una qualificazione dei dati personali in quanto asset suscettibili di valutazioni quantitative e di scambi di natura economico-commerciale.

Tra le novità più rilevanti rientra la figura del Data Protection Officer, ossia del responsabile della protezione dei dati. L'art. 35 del Regolamento prevede i casi in cui il DPO deve essere nominato, tra i quali, per quanto qui rileva, figura quello in cui le attività principali della società consistono in operazioni di trattamento che, per loro natura, portata o finalità, monitorano su base regolare e sistematica i dati delle persone interessate su larga scala. Il DPO svolgerà principalmente compiti informativi e di controllo sulla compliance in materia di privacy, e fungerà da punto di contatto per i soggetti interessati, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all'esercizio dei loro diritti, e per il Garante per la protezione dei dati personali.

3. Brevi indicazioni di carattere pratico

Alla luce di quanto esposto in termini estremamente schematici, possiamo individuare alcuni accorgimenti che le startup dovrebbero adottare per evitare di incorrere nelle responsabilità sopra accennate.

  • Verificare la compliance con le disposizioni normative di recente e di prossima introduzione prima di fare ingresso sul mercato;
  • considerare nella propria pianificazione finanziaria l’eventualità di dover impiegare risorse per adattare la propria struttura aziendale agli obblighi di legge, come accadrà per coloro che dovranno dotarsi, ad esempio, di un DPO;
  • valutare se la propria attività potrebbe in futuro tradursi in modalità di trattamento dei dati personali (si veda ad esempio l’analisi dei Big Data(2), o la vendita dei dati a terzi che siano interessati ad acquisire contatti in maniera massiva), in modo tale da raccogliere ab origine presso i soggetti Interessati un consenso informato che copra tutti gli aspetti rilevanti, in assenza del quale si tratterebbero i dati illecitamente, con le conseguenze sopra esposte.
  • Le startup che operano tramite siti Internet, dovranno adottare particolari accorgimenti. Dovranno, innanzitutto, dare conto degli adempimenti in materia all’interno di una Privacy Policy: un documento, consultabile da chiunque vi abbia interesse, che indichi le figure interne alla startup incaricate di particolari responsabilità, le modalità e finalità delle attività che costituiscono trattamento di dati personali, le misure di sicurezza tecniche a protezione degli stessi, ed ogni altra informazione richiesta dalla legge. Tutti questi contenuti saranno poi versati nell’Informativa, la quale verrà sottoposta per l’accettazione ai soggetti Interessati il cui diritto alla riservatezza deve essere tutelato.
  • L’anonimizzazione dei dati personali acquisiti potrebbe non essere sufficiente ad assicurare l’irrilevanza ai fini privacy: la legge, infatti, impone che il processo che trasforma i dati in forma anonima non debba essere “facilmente reversibile”, concetto, questo, che si modificherà con l’evoluzione della tecnologia impiegata per risalire dal dato alla persona cui esso si riferisce.
  • Le startup a vocazione sociale dovranno prestare particolare attenzione ai dati sensibili (per tali intendendosi quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale): al di fuori di alcune aree di esenzione, infatti, tali soggetti dovranno sottoporre in via preventiva al Garante della Privacy l’autorizzazione ad operare nei termini illustrati.

 

1 Basti, sul punto, la relazione esposta al Parlamento dal Presidente dell’Autorità Garante A. Soro, la cui sintesi è rintracciabile qui.

2 I Big Data sono stati definiti dalla Commissione dell’Unione Europea come “una grande quantità di tipi diversi di dati prodotti con un’alta velocità da un grande numero di fonti di diverso tipo. La gestione di tali aggregati di dati richiede oggi nuovi strumenti e metodi, come processori potenti, software e algoritmi”, cfr. la Comunicazione al Parlamento UE COM(2014) 442.