Risorsa realizzata da Fabio Cassanelli, Co-founder & Consulente GDPR di Argo Business Solutions

La privacy by design: come rendere il proprio prodotto o servizio GDPR compliant

Dal 25 maggio 2018 ha iniziato a dispiegare i suoi effetti il Regolamento UE (679/2016) in materia di privacy e protezione dei dati personali, più comunemente noto come “GDPR”. Il Regolamento ha introdotto numerosi adempimenti per chi tratta dati di persone fisiche residenti all’interno dell’Unione Europea. 

Molte startup, dal momento che trattano dati personali nel contesto della fornitura dei propri servizi, devono affrontare il tema “compliance GDPR” fin dalle prime fasi della propria esistenza.

Uno dei primi aspetti di cui una startup deve occuparsi è infatti il rispetto del principio di “privacy by design” introdotto dal GDPR.

Privacy fin dalla progettazione

La “privacy by design” non è altro che l’incorporazione dei requisiti di privacy fin dalla progettazione di un trattamento e che la tutela dei diritti e delle libertà degli interessati sia integrata in tutti i processi.

In parole povere, è assolutamente vietato lanciare sul mercato un prodotto o un servizio prima che questo sia reso conforme ai principi introdotti dal GDPR. Inoltre, i requisiti in materia di protezione dei dati personali devono essere mantenuti nel tempo.

Ma come progettare un prodotto o un servizio in modo che sia conforme al principio della privacy by design? Vediamo alcuni tra i principi da rispettare.

• Trasparenza: Il titolare deve essere chiaro e trasparente con l’interessato su come raccoglierà, utilizzerà e condividerà i dati personali. 
• Liceità: Il titolare deve identificare una base giuridica valida per il trattamento dei dati personali.
• Correttezza: i dati personali non devono essere trattati in modo ingiustificatamente dannoso, illegittimamente discriminatorio, imprevisto o fuorviante per l’interessato.
• Limitazione delle finalità: Il titolare deve raccogliere dati per finalità specifiche, esplicite e legittime e non trattarli ulteriormente in modo incompatibile con le finalità per le quali sono stati raccolti. 
• Minimizzazione dei dati: Solo i dati personali che sono adeguati, pertinenti e limitati a quanto necessario per la finalità sono sottoposti a trattamento.
• Limitazione della conservazione: I dati devono essere conservati per un periodo non superiore a quello necessario per le finalità per le quali i dati personali sono trattati.
• Integrità e riservatezza: Il principio di integrità e riservatezza prevede la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. La sicurezza dei dati personali richiede misure appropriate concepite per prevenire e gestire incidenti di violazione dei dati.
• Responsabilizzazione: Il titolare è responsabile della conformità a tutti i principi sopra menzionati e deve essere in grado di dimostrarla.

La privacy non è solo un adempimento burocratico

La non conformità al GDPR non solo espone la startup al rischio di sanzioni molto salate, rischia di minarne anche la reputazione nei confronti di clienti, potenziali investitori e più in generale verso i suoi stakeholder. 

In particolare, nelle fasi di due diligence, nella maggior parte dei casi i potenziali investitori verificano la compliance GDPR di una startup e, in caso di non-conformità rilevate, potrebbero decidere di ritenere il business troppo rischioso. Di conseguenza, è fondamentale, per ogni startup neocostituita rivolgersi a un consulente GDPR e, nei casi previsti dalla legge, nominare un Responsabile per la Protezione dei Dati Personali (RPD o DPO). 

Parleremo dei casi in cui è obbligatorio nominare un DPO in un prossimo articolo dedicato.