Anche le Start-up saranno tenute a conformarsi al nuovo regolamento europeo entro il prossimo 25 maggio.
Il final countdown del 25 maggio 2018 prosegue in maniera serrata. Entro questa data tutte le aziende italiane, sia pubbliche che private, dovranno adeguarsi tassativamente al GDPR (General Data Protection Regulation), nuovo regolamento emanato nel 2016 dall’Unione Europea in materia di protezione e trattamento dati personali che andrà a sostituirsi al D. Lgs. 196/2003, anch’esso a suo tempo conversione di un atto legislativo di Bruxelles (la direttiva 95/46/CE).
Cosa sono, in pochissime parole, le Start-up
Tra i vari aspetti legati alla nuova normativa, uno dei più interessanti è legato alla sua attuazione nel mondo delle Start-up. Con questo termine vengono indicate le imprese di nuova formazione o le società di capitali caratterizzate da possibili ed ampi margini di crescita nel tempo. in queste realtà, pertanto, trovano applicazione alcuni concetti chiave dell’ideologia capitalista, come la temporaneità, la ripetibilità e la scalabilità del modello produttivo impostato.
Responsabilizzazione e data breach
Come per le comuni aziende di carattere tradizionale (basti pensare ad un esercente nel campo della ristorazione) anche per questi soggetti riconosciuti, tra l’altro, ufficialmente dalla nostra legislazione (il decreto legge 179 del 18 ottobre 2012 contiene misure per le Start-up “innovative”, specializzate nella ricerca scientifica) vi è l’esplicito obbligo di designare un titolare del trattamento dati. In tale figura si concretizza il concetto di accountability, ossia di responsabilizzazione nella valutazione di alcuni importanti parametri quali la finalità dell’operazione, la sua natura ed il suo ambito di attuazione. Annessa allo svolgimento del trattamento sarà, altresì, la redazione di una valutazione d’impatto, onde verificare eventuali data breach, ossia violazioni o perdite di dati a causa di eventi accidentali, come ad esempio un incendio, oppure di natura intenzionale, ovvero gli attacchi di hacker. Laddove si creino tali spiacevoli situazioni, il titolare del trattamento della Start-up potrà darne comunicazione all’Autorità Garante per la privacy entro3 giorni dal loro avvenimento.
Fra interesse legittimo e diritti degli interessati
Soprattutto nelle start-up innovative, dove i dati rappresentano non soltanto una fonte di introito monetario ma anche al tempo stesso una base fondamentale per la credibilità nei riguardi della concorrenza (il cosiddetto potere contrattuale), il titolare del trattamento dati potrà beneficiare di una discreta libertà nell’impostare il proprio business plan. Tale posizione è giustificata dall’articolo 6 del GDPR, in cui si afferma il principio dell’interesse legittimo: pur mancando un esplicito consenso da parte di uno o più soggetti interessati, sempre per quantità di informazioni e durante periodi di tempo limitati, si potrà procedere al trattamento dati nella risoluzione di un contratto o nell’adempimento di funzioni pubbliche. Secondo gli esperti, comunque, tale apparente “strapotere” del titolare del trattamento sarebbe comunque ben controbilanciato da una serie di diritti attribuiti alla categoria giuridica dell’interessato, che vanno dall’informazione alla rettifica, dalla cancellazione alla portabilità. In quest’ultimo concetto si esprime la reale e fisica capacità di trasferire i dati trattati, con margini di libertà bilanciati tra le esigenze dei due soggetti coinvolti (il titolare e/o gli interessati).
Registro dei trattamenti (quasi sempre) facoltativo
In virtù della dimensione solitamente ridotta, in termini di unità operative al suo interno, la Start-up non è tenuta alla compilazione del Registro dei trattamenti. Secondo l’articolo 30 del GDPR, infatti, ogni azienda deve creare ed aggiornare una specie di archivio su tutte le attività aventi per oggetto la delicata sfera della privacy ma soltanto se vi sono almeno 250 lavoratori dipendenti. Tuttavia, come per tutte le imprese di carattere tradizionale, sono contemplate nell’articolo anche per le Start-up le dovute eccezioni. Il riferimento è a circostanze in cui siano messe a repentaglio le libertà ed i diritti dei soggetti interessati oppure vengano coinvolte particolari categorie di informazioni, come i dati sensibili, legati per esempio agli ideali religiosi e politici oppure agli orientamenti sessuali. Dalla breve analisi effettuata, dunque, non sembrano emergere particolari differenze nell’attuazione del GDPR tra aziende tradizionali e Start-up ma, anzi, una comune centralità della protection data nel cursus della vita aziendale.
Per maggiori informazioni consultare www.psbprivacyesicurezza.it.