GDPR e startup: da costo a opportunità

Un’incombenza burocratica, nel migliore dei casi: così molte PMI innovative e startup vedono solitamente l’adeguamento al Regolamento Generale sulla Protezione dei Dati (GDPR) e, in base a questa visione, impostano le loro privacy policy, scelgono i fornitori di tecnologia per la gestione dei dati personali degli utenti, comunicano (o, meglio, non comunicano) verso l’esterno gli investimenti fatti per tutelare la riservatezza dei clienti. Inutile dire che questo tipo di approccio è, a dir poco, riduttivo soprattutto dal punto di vista di imprese che vogliono essere percepite come innovative in ogni ambito di business.

Dalla privacy come costo alla privacy come opportunità di business

Sicuramente non aiutano le notizie recenti, e la grande confusione seguita alla sentenza nota come “Schrems II” della Corte di giustizia sull’illeceità del trasferimento dei dati personali dei cittadini europei negli Stati Uniti. Se è vero che nel luglio di quest’anno è stato finalmente ratificato un nuovo accordo sul trasferimento dei dati personali tra UE e USA (il Data Privacy Network), è altrettanto vero che quest’ultimo sarà con ogni probabilità sottoposto a una nuova valutazione da parte della stessa Corte di giustizia, procrastinando in questo modo una condizione di incertezza in merito all’utilizzo di alcuni tra i più diffusi strumenti digitali di comunicazione, lavoro e archiviazione dei dati, solo per citare alcuni esempi.

In questo contesto in continua evoluzione non mancano, tuttavia, esempi di aziende che hanno fatto proprio il principio fondamentale della privacy “by design e by default” per generare nuove e inaspettate opportunità di comunicazione e di business. Da chi ha realizzato blog dedicati ed eventi ibridi di approfondimento sul tema della privacy a disposizione dei propri clienti, a chi ha deciso di compiere investimenti importanti in termini di capitale umano e strumenti tecnologici per andare oltre il minimo richiesto dalle normative e posizionarsi quale punto di riferimento nel proprio settore, non sono poche le aziende che hanno deciso di rispondere alla sfida posta dalle istituzioni per guadagnare reputazione, generare occasioni di contatto e accumulare anni di vantaggio rispetto alle normative future.

Tre consigli per le startup che vogliono cambiare approccio verso la privacy

E le startup? Perlopiù seguono a distanza, vincolate da budget limitati e da una visione ancora fortemente condizionata da quella consolidatesi nell’epoca precedente al GDPR, quando il Codice della privacy italiano prevedeva solo delle misure di sicurezza minime in luogo di scelte commisurate al proprio livello di rischio. Non sorprende, in questo contesto, che le startup che nel corso degli anni hanno saputo trasformare un adempimento burocratico in un proprio punto di forza sono state quelle del settore sanitario, capaci in più di un’occasione di superare per creatività e visione le stesse corporate, e di sfruttare la reputazione così guadagnata per acquisire nuovi clienti e favorire le relazioni con istituzioni e strutture sanitarie.

Senza voler presumere di dettare delle regole valide per tutti, possiamo comunque individuare alcune “best practices” che le startup di ogni settore possono seguire per cambiare approccio e trasformare in una risorsa quello che ancora oggi viene visto come un’incombenza:

• non scegliere gli strumenti in base al prezzo, ma in base alle possibilità di personalizzazione sulle proprie esigenze aziendali. Non può essere lo strumento tecnico di gestione dei dati personali a definire la strategia di ogni azienda, ma deve essere il DPO o un esperto esterno a costruire su misura quest’ultima e di conseguenza identificare lo strumento migliore in misura proporzionale al proprio profilo di rischio

• adottare un vero e proprio “diario della privacy” interno all’azienda: una relazione annuale sulle scelte compiute in materia di tutela dei dati personali – dalla scelta dei software di gestione all’aggiornamento della privacy policy – così da tenerne traccia nel corso del tempo ed essere in grado agevolmente di spiegare e motivare queste ultime ai propri clienti o, se richiesti, alla stessa autorità Garante

• anticipare l’evoluzione normativa che tenderà sempre più a vedere il dato personale come un diritto fondamentale, da valutare e bilanciare nel caso specifico in cui quest’ultimo viene trattato: dal link per la registrazione che permette di risalire al singolo utente al nome personale che, in alcuni contesti, può essere utilizzato per ricostruire le scelte di genere di un individuo facente parte di un determinato database (ad esempio, di un’associazione per la tutela delle persone LGBTQ+), è necessario seguire un principio di ragionevolezza che può portare a compiere scelte più restrittive, in termini di sicurezza, ma premianti sul lungo periodo

Uno scontro tra visioni diverse, e il rischio di propendere per la soluzione più comoda

Non sarà sfuggito, ai lettori più attenti, un aspetto fondamentale che il nuovo accordo sul trasferimento dei dati tra UE e USA non ha fatto altro che confermare: sul governo dei dati personali si sta svolgendo uno scontro tra due visioni solo in parte complementari, ovvero quella giuridica – ribadita dalla sentenza Schrems II dalla Corte di giustizia europea – e quella macroeconomica della Commissione europea, ribadita nel nuovo Data Privacy Framework. Trovare la sintesi tra queste due opposte visioni, destinate ad armonizzarsi nei prossimi anni, può fare la differenza tra un’azienda di successo e un’azienda costretta continuamente a rincorrere il precipitarsi degli eventi. Soprattutto quando quell’azienda è solo agli inizi, e la scarsità di dati personali a cui ha accesso lascerebbe propendere per la soluzione più “comoda”.