Newsletter “Segnali di fumo” → Iscriviti ora

Startup e GDPR (pt. 2)

Continua la nostra guida che ti porta alla scoperta di tutti gli adempimenti e gli obblighi da rispettare a proposito di privacy e utilizzo dei dati personali quando sviluppi e vendi i tuoi prodotti e servizi.

Risorsa realizzata da Fabio Cassanelli, Co-founder & Consulente GDPR di Argo Business Solutions

La conformità non riguarda solo il prodotto

Nell’articolo precedente, abbiamo analizzato l’importanza, per una startup, del principio di privacy by design. Tale principio si declina nell’obbligo, introdotto dal Regolamento UE 679/2016 GDPR, di rendere conformi “fin dalla progettazione” tutti i prodotti e servizi prima del lancio sul mercato.

Tuttavia, il lancio sul mercato di un prodotto o servizio conforme al GDPR non deve essere la sola preoccupazione di una startup per quanto riguarda gli adempimenti del Regolamento. Infatti, il GDPR presenta diversi requisiti aggiuntivi da tenere in considerazione. Inoltre, non è solo il prodotto o servizio a dover essere conforme ma l’intera organizzazione

All’interno di questa guida, proveremo a fornire un elenco esemplificativo (ma non esaustivo) di questi requisiti in modo che il lettore possa acquisire una maggiore consapevolezza sul tema.

Informative privacy

Il sito web e un’eventuale app aziendale sono stati dotati di privacy policy? Ottimo! Ma il lavoro non è finito. La startup deve adottare anche informative privacy rivolte a tutti quei soggetti dei quali tratta i dati personali (a titolo esemplificativo: dipendenti, fornitori, collaboratori, candidati, ecc…)

Registro delle attività di trattamento

Il Registro delle attività di trattamento è un documento contenente le principali informazioni relative alle operazioni svolte da un titolare o da un responsabile del trattamento. Il Registro deve essere esibito su richiesta al Garante per la Protezione dei Dati Personali. La startup deve adottarlo per tutti i trattamenti considerati “a rischio”, ovvero i trattamenti non occasionali.

Nomina del RPD o DPO (se applicabile)

Il Responsabile per la Protezione Dati (RPD) o Data Protection Officer (DPO) deve essere nominato da quei soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali. Il DPO deve assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR. Parleremo della figura del DPO nel prossimo articolo.

Dipendenti e collaboratori: nomine e formazione

Tutti i soggetti autorizzati dalla startup a trattare dati personali sotto l’autorità di quest’ultima (a titolo esemplificativo: dipendenti, tirocinanti, collaboratori) devono essere adeguatamente nominati e formati. La nomina deve contenere un obbligo di riservatezza sottoscritto dalla persona autorizzata.

Nomina degli amministratori di sistema

La startup deve inoltre procedere all’individuazione e alla nomina dei suoi amministratori di sistema in ottemperanza con il Provvedimento del Garante per la Protezione dei Dati Personali del 2008 (che rimane tuttora in vigore, nonostante sia precedente al GDPR).

Responsabili e sub-responsabili esterni

Tutti i soggetti esterni che trattano dati per conto della startup non solo devono essere conformi al GDPR ma devono anche essere nominati responsabili esterni (art. 28 del GDPR) tramite una nomina o un addendum contrattuale. Questo si estende anche ai fornitori di servizi informatici e cloud. Questi ultimi, in molti casi, incorporano già nei propri contratti appositi sub-allegati conformi all’art.28 del Regolamento.

Analisi dei rischi e DPIA

Il GDPR richiede ai titolari del trattamento di mitigare i rischi di impatti negativi sulle libertà e i diritti degli interessati attraverso appositi processi di valutazione. Se la startup ha quindi correttamente condotto l’analisi dei rischi e, se richiesta, la valutazione d’impatto sulla protezione dei dati (DPIA) nella fase di definizione delle misure di sicurezza da applicare al proprio prodotto/servizio, non deve comunque dimenticare di considerare anche gli ambiti di trattamento non direttamente collegati a tale prodotto o servizio. Per esempio, devono essere considerate attentamente le misure di sicurezza volte a minimizzare il rischio di data breach nell’ambito della gestione di eventuali dati particolari trattati per la gestione del rapporto di lavoro con i dipendenti.

Conclusioni

Gli adempimenti menzionati sopra, come indicato nell’introduzione, non possono essere considerati esaustivi relativamente a tutte le disposizioni del GDPR. Tuttavia, possono rappresentare una prima base di partenza che può consentire al management della startup di acquisire consapevolezza in merito ai numerosi dettami introdotti dal Regolamento.

Autore

Fabio Cassanelli
Co-founder & GDPR Consultant Argo Business Solutions

Ultimi articoli

Risorse utili

Segnalaci
le tue news

Se hai qualche notizia interessante sulla tua azienda o startup e vuoi darle risalto attraverso le nostre pagine compila il form per segnalarcela.

Ho una news succulenta per ToTeM

Trattamento dei dati

Main Partner
Logo Fondazione Compagnia di San Paolo
Logo di Fondazione Sviluppo e Crescita CRT
Technical Partner