La tutela della privacy nel mondo delle startup innovative

La tutela della privacy nel mondo delle startup innovative:

Oggi la società civile è molto più attenta a soddisfare esigenze in un certo senso secondarie quali il diritto al lavoro, alla libertà d’impresa, allo studio, alla personalità; ramificazioni dirette di quelle che sono le fondamenta ideologiche degli Stati contemporanei.

Di pari passo, in meno di un secolo, la tecnologia e il mondo sono profondamente cambiate: il già avviato processo di globalizzazione ha ricevuto una decisiva accelerazione grazie alle moderne reti Internet e mobile, e alla nascita e alla crescita esponenziale dei social network, che contribuiscono a garantire il diritto di parola e la libertà d’espressione.

Correlativamente, è aumentato il rischio di violazione della privacy, sfaccettatura del diritto alla personalità, e nello specifico dei dati personali e sensibili delle persone, che sovente non sono a conoscenza del trattamento dei propri connotati anagrafici e comportamentali, e della possibilità che questi possano essere utilizzati a loro nocumento.

Per questo, l’esigenza di tutela della privacy è cresciuta sempre più anche a livello normativo, ed è culminata, in sede europea, nell’adozione del General Data Protection Regulation (GDPR, Regolamento n. 2016/679/UE), poi recepito nel nostro Paese modificando quasi integralmente il previgente Codice della Privacy (d. lgs. 196/2003).

Scopri di più sul mondo delle Start up innovative

Startup e GDPR: si applica o non si applica?

Il tema dell’articolo in questione è se l’attuale normativa a protezione della privacy sia obbligatoria o meno per le startup innovative, e se quindi queste debbano essere GDPR compliant.

La questione è di particolare rilevanza: le startup infatti svolgono un ruolo cruciale nel progresso tecnologico, a volte particolarmente spregiudicato e poco attento alle esigenze di protezione dei dati personali.

Ciò è evidente in particolare nel campo informatico, in quello medico e in quello delle comunicazioni, settori che rappresentano un terreno molto fertile per la crescita di imprese innovative e la realizzazione di idee futuristiche.

La risposta alla domanda in epigrafe va cercata, a giudizio di chi scrive, indagando due punti:

• l’ambito materiale di applicazione del GDPR;
• le deroghe dal diritto comune previsto per startup innovative ex d.l. n. 179/2012.

Come si vedrà a breve, l’ambito di applicazione del GDPR non è definito minuziosamente dal regolamento, che predilige, a contrario, una disposizione ad ampio spettro; ciò è coerente con la stessa normativa sovranazionale, orientata al principio di “accountability” (responsabilizzazione) dei soggetti pubblici e privati per circoscrivere eventuali lacune normative.

Sul secondo punto, invece, è giusto ricordare che startup e imprese innovative godono di incentivi e sgravi non solo fiscali ed economici, ma anche normativi, potendo cioè usufruire di un regime giuridico particolarmente atteggiato rispetto alle normali imprese non innovative.

1) Ambito materiale di applicazione GDPR

Partendo dal dato positivo, l’articolo 2 del GDPR, rubricato proprio “Ambito di applicazione materiale” così dispone al primo paragrafo:

“Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.”

Per “trattamento”, l’articolo 4 precisa volersi intendere “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

E’ agevole rilevare l’estrema onnicomprensività della norma scritta che ci fornisce il regolamento europeo, e quindi, di riflesso, l’amplissimo ambito di efficacia del presente testo di legge. D’altronde, siffatta definizione è in linea con l’intento emerso nei lavori preparatori di garantire la piena applicazione del regolamento, onde massimizzare la tutela della privacy.

Non può non evidenziarsi, per quanto ci interessa, che ogni tipo d’impresa, quindi anche quelle innovative, al giorno d’oggi è tenuta in maniera più o meno intensa al trattamento di dati personali, quand’anche essi consistessero in quelli dei soli dipendenti, come nomi, cognomi, indirizzi o numeri di conto corrente. Dovrebbe insomma concludersi che anche le startup sono obbligate al rispetto del GDPR.

Non sembrerebbero poi deporre in senso contrario le eccezioni all’applicazione del regolamento, previste dal secondo paragrafo dell’articolo 2:

Il presente regolamento non si applica ai trattamenti di dati personali:

• a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
• b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
• c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
• d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Premessa l’evidente inapplicabilità al caso di specie delle lettere b) e d) che coprono attività statali o governative, è pacifico che né la lettera a) né la lettera c) consentano alle imprese innovative di poter derogare alla disciplina di tutela della privacy: esse svolgono senza alcun dubbio un tipo di attività rientrante nell’ambito di applicazione del diritto dell’Unione Europea; e, per la loro costituzione, devono essere necessariamente persone giuridiche.

2) Deroghe di diritto comune previste dal d.l. 179/2012

Come anticipato, il Legislatore italiano, nell’ottica di promozione dell’impresa innovativa ha previsto incentivi non solo economici, ma anche giuridici.

Il più importante di quest’ultimi è rappresentato dall’art. 26 del d.l. 179/2012, che dispone a tal proposito una serie di deroghe di diritto comune da applicarsi alla startup innovativa al fine di permetterne la sopravvivenza nel tessuto imprenditoriale.

Nessuna di queste deroghe, tuttavia, dispone l’esenzione dal rispetto della normativa a tutela della privacy.

Le eccezioni infatti riguardano essenzialmente la disapplicazione di alcune norme commerciali del codice civile, in materia, tra le altre cose, di ripianamento del debito e di composizione societaria.

Non potrebbe essere altrimenti; è evidente che il Legislatore, nel ricomporre il conflitto tra l’esigenza di tutelare la privacy e quella di promuovere l’imprenditoria innovativa, abbia voluto privilegiare la prima.

Deve quindi concludersi per l’applicabilità della disciplina a tutela della privacy anche in seno alle startup innovative.

General Data Protection Regulation in breve

Acclarato che anche l’impresa innovativa, al pari di qualsiasi altra impresa, è vincolata ad osservare gli obblighi comunitari a tutela della privacy, è giusto esaminare breviter gli adempimenti cui è tenuta nel rispetto di questa disciplina.

In primo luogo, il trattamento dei dati personali deve essere lecito ( art. 5), e cioè deve avere una base giuridica ed una finalità stabilita dal diritto dell’ Unione Europea o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

Per essere lecito, il trattamento deve essere altresì consentito dall’interessato (art. 6), il cui consenso deve essere espresso e correttamente informato (da qui la necessità di stilare una privacy policy e di richiedere all’interessato una esplicita approvazione).

Le categorie particolari di dati personali (art. 9, dati quali orientamento sessuale, stato di salute, orientamento politico o religioso e via dicendo, cd. dati sensibili) non possono essere oggetto di trattamento, tranne che in alcuni determinati casi quali il consenso espresso dell’interessato, o, limitatamente, nel caso in cui sia necessario tutelare un interesse pubblico.

Va inoltre garantito sempre il diritto di accesso all’interessato (art. 15), che può in qualsiasi momento verificare se i suoi dati personali sono sottoposti a trattamento, in che modo e per quali finalità, nonché la possibilità di rettifica (art. 16) e cancellazione degli stessi (art. 17).

Titolare, responsabile e registro di trattamento

Secondo la definizione del GDPR, titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali“, mentre il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art.4).

Premesso che nella prassi spesso entrambi i ruoli vengono rivestiti dalla stessa persona fisica o giuridica, il titolare ed il responsabile del trattamento sono civilmente, amministrativamente e penalmente responsabili dell’attività di trattamento dei dati personali nonché di ogni violazione del GDPR.

In particolare, l’art. 25 impone al titolare del trattamento di adottare tutte le misure tecniche ed organizzative necessarie ad assicurare una protezione dei dati trattati (privacy by design) nonché di trattarli nel modo più sicuro possibile (privacy by default).

Il responsabile del trattamento invece (art. 28), deve essere in possesso di tutte le garanzie tecniche ed organizzative sufficienti a garantire che i dati siano processati in sicurezza, a garanzia della tutela dei diritti dell’interessato.

L’atto con cui il titolare incarica il responsabile al trattamento dei dati deve rivestire necessariamente la forma del “contratto o di altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento“.

Infine, l’art. 30 prescrive che sia il titolare che il responsabile devono istituire e conservare un registro delle attività di trattamento.

Nel registro vanno obbligatoriamente indicati tutti i trattamenti di dati personali, le loro finalità, il tipo di dati che vengono trattati ed eventualmente se è previsto il trasferimento di questi dati a terzi. Va comunque precisato che il presente articolo “non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10“.

Infine, in caso di violazione dei dati personali (data breach), è prevista una procedura particolarmente celere di notifica della violazione all’autorità di controllo (art. 33, nel caso dell’Italia al Garante della Privacy) e all’interessato (art. 34).

Il Data Protection Officer: ruolo e funzioni

Un ruolo importante è rappresentato dalla figura del Responsabile della protezione dei dati (Data Protection Officer), introdotta dall’art. 37, che svolge una funzione cruciale nella tutela della privacy in qualsiasi impresa o ente pubblico.

Il Responsabile della protezione dei dati (d’ora in poi, RPD) è una figura esperta di protezione di dati personali, tanto dal punto di vista normativo che da quello tecnico, e svolge un importantissimo triplice ruolo di:

• consulenza per il management aziendale;
• vigilanza e controllo sull’operato dell’impresa;
• collegamento con l’autorità garante.

Essa quindi è una persona che, pur lavorando a stretto contatto con l’amministrazione, non ne fa parte (e non deve farne parte), e quindi non ha alcun ruolo nelle scelte aziendali.

Ciò rileva in misura significativa dal punto di vista della sua responsabilità in caso di violazione della normativa GDPR; il RPD infatti non ne è responsabile fintantoché provi di aver fatto quanto in suo potere per scongiurare quella violazione (ad es., consigliando l’amministratore delegato di non procedere ad un trattamento di dati personali poco sicuro).

Deve comunque precisarsi, infine, che non sempre è obbligatoria la nomina del RPD (che tra l’altro può essere affidata anche ad un soggetto esterno all’impresa, come un professionista od una società di servizi), ma soltanto ogniqualvolta:

• il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Infine, “un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento“; quest’ultima indicazione, ovviamente, è particolarmente utile per tutte quelle imprese innovative facenti parte di un già consolidato gruppo imprenditoriale.

La valutazione d’impatto sulla protezione dati

Un importante procedimento è disciplinato dall’art. 35, che dispone: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi“.

Il passaggio è molto importante, poiché assume un ruolo centrale tra gli strumenti normativi a protezione della privacy con funzione preventiva; è altresì evidente che rivesta un momento essenziale soprattutto nell’ambito di una startup, il cui oggetto sociale generalmente è quello di innovare e sperimentare nuove tecnologie.

La valutazione d’impatto sulla protezione dati (o, per dirla all’inglese, Data Protection Impact Assessment, DPIA) assolve quindi un compito strategico fondamentale, che è quello di proteggere preventivamente i dati personali degli interessati, e conseguentemente di non vanificare l’investimento in nuove tecnologie qualora queste non presentino un grado di protezione adeguato per i medesimi.

L’impresa perciò può procedere (anzi, deve) alla valutazione tutte le volte in cui è propensa ad un nuovo trattamento di dati personali che presenti le seguenti caratteristiche (paragrafo 3):

• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
• il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il quarto paragrafo inoltre prevede che sia l’autorità di controllo a redigere un elenco di casi in cui è obbligatorio l’esperimento di tale procedura.

L’elenco, tuttavia, non è tassativo, perché resta fermo quanto disposto dal terzo paragrafo. Spetta quindi al management aziendale (preferibilmente consigliato dal Responsabile protezione dati) effettuare o meno la valutazione, caso per caso.

L’applicazione in concreto: gli obblighi minimi cui deve adempiere lo startupper

Terminata la breve disamina della disciplina a tutela della privacy, cosa può concludersi con riguardo alle startup innovative?

Che anch’esse ne sono vincolate.

E’ agevole infatti rilevare che, salvo particolari eccezioni, lo status di startup innovativa non esime l’impresa dal rispettare il dettato comunitario in materia di trattamento dei dati personali.

Che quindi, sotto quest’aspetto, l’impresa innovativa non differisce in alcun modo dall’impresa tradizionale.

Lo startupper innovativo è obbligato ad adottare tutte le precauzioni tecniche ed organizzative per prevenire eventuali violazioni del trattamento o di dati personali. Tra l’altro, a giudizio di chi scrive, quest’obbligo andrebbe preso in debita considerazione, tenuto conto che spesso le imprese innovative promuovono tecnologie sperimentali o comunque poco collaudate per la tutela dei dati personali (in particolar modo con riferimento alle startup nel campo informatico e della comunicazione).

Anche questi soggetti quindi dovranno dotarsi di una privacy policy e richiedere espressamente il consenso agli interessati prima di procedere al trattamento dei loro dati personali.

Potrebbe inoltre essere opportuno dotarsi di un RPD, interno o esterno, anche al di fuori delle ipotesi di nomina obbligatoria, considerato che, oltre alle responsabilità civili e penali, in caso di violazione del GDPR sono previste sanzioni economiche che possono arrivare fino a 10 milioni di euro, o solo per le imprese, fino al 2% del fatturato annuo globale, nei casi più lievi; mentre nei casi più gravi le sanzioni massime sono addirittura raddoppiate (art. 83).

Discorso simile vale per il registro di trattamento, che, teoricamente, non sarebbe obbligatorio per le imprese con meno di 250 dipendenti, condizione normalmente diffusa tra le startup; l’obbligo però rinvigorisce nel momento in cui il trattamento dati non sia occasionale oppure possa rappresentare un alto rischio per le libertà degli interessati; anche queste, circostanze particolarmente comuni per le imprese innovative e non.

Pertanto, onde evitare pesanti sanzioni economiche (senza tenere conto poi dell’incalcolabile danno all’immagine di una impresa non in grado di tutelare i dati dei propri dipendenti e dei propri clienti) sarebbe opportuno l’adempimento anche di quest’ultimo obbligo.

Segui la nostra Rivista Giuridica anche su youtube

Conclusioni

Quindi, dietro la minaccia di rilevanti conseguenze amministrative, civili e penali, la startup innovativa è tenuta ad osservare la normativa GDPR a tutela della privacy, tanto nei confronti dei clienti quanto a tutela dei propri dipendenti.

In particolar modo, deve adempiere i seguenti obblighi:

• redazione di una privacy policy, in cui vengono indicati i trattamenti di dati personali che vengono processati dall’impresa, le modalità e le finalità degli stessi, nonché le condizioni di esercizio dei diritti degli interessati;
• acquisizione esplicita del consenso al trattamento da parte dell’interessato;
• nomina del Responsabile della protezione dati, incarico che può essere affidato anche ad un soggetto esterno, professionista o società di servizi;
• istituzione del registro di trattamento, obbligo che deve essere assolto tanto dal titolare quanto dal responsabile del trattamento;
• valutazione d’impatto sulla protezione dati, ogniqualvolta ve ne sia la necessità o venga ritenuto opportuno;
• rapida notifica del data breach all’autorità garante e all’interessato.

Vuoi saperne di più sulle Start up innovative e richiedere una consulenza legale ai nostri Legal advisor?

Vuoi ulteriori chiarimenti sull’argomento o semplicemente fare delle domande?
Scrivici qui sotto e ti risponderemo nel più breve tempo possibile