GDPR & Startup: le potenzialità della corretta gestione dei dati

 In Risorse per startup
startup e gdpr

Dopo più di due anni dall’entrata in vigore del Regolamento generale sulla protezione dei dati n. 2016/679 – meglio noto come GDPR – sono stati realizzati numerosi interventi sul tema.

Ma siamo certi di aver realmente compreso quali sono gli aspetti rilevanti del “GDPR”?

Sulla base dell’esperienza maturata come professionisti del settore legale, si nota come, ancora oggi, vi sia molta confusione sull’effettivo ambito applicativo della norma e sui presidi che le società – specialmente le startup – sono tenute ad implementare.

Innanzitutto, per sgomberare il campo da possibili equivoci, pare opportuno chiarire che il GDPR è entrato in vigore il 24 maggio 2016 e divenuto applicabile il 25 Maggio 2018. Ciò significa che alle società è stato concesso un lasso di tempo di due anni per adeguarsi alla normativa. Pertanto l’implementazione dei presidi richiesti dalla norma sarebbe dovuta terminare entro il (e non partire dal) 25 maggio 2018.

Chiarito ciò, il presente contributo è volto a riassumere brevemente quelli che, a nostro avviso, rappresentano i principali aspetti che gli startupper, sin dalla fase di progettazione e pianificazione del proprio sito web, dovrebbero tenere in considerazione al fine di trattare correttamente e poter valorizzare i dati personali raccolti online.

Come creare un form GDPR compliant?

Come noto, il sito web istituzionale funge da biglietto da visita per ogni startup e, pertanto, la configurazione dello stesso rappresenta il punto di partenza per una corretta gestione dei dati personali.

A tal riguardo, occorre distinguere tra i siti web c.d. “statici” e i siti web c.d. “dinamici”, quali, ad esempio, gli e-commerce in cui gli utenti possono acquistare un servizio e/o un prodotto.

La differenza tra le anzidette tipologie di siti è abissale!

I c.d. siti “statici” sono di norma realizzati al fine di creare un mero punto di contatto tra i clienti/utenti e la startup (e.g. il form “Contattaci”) e/o di reclutare nuove risorse da inserire all’interno del proprio organico (e.g. il form c.d. “Lavora con noi”).

In tali casi, qualora il sito sia utilizzato per raccogliere esclusivamente tali dati personali, è sufficiente dotarlo di un’unica informativa privacy recante l’indicazione delle finalità perseguite dalla startup ossia, la gestione delle richieste da parte dei clienti e la raccolta dei CV. Per lo svolgimento di tali attività, nella maggior parte dei casi, NON è necessario richiedere il consenso da parte del cliente e/o candidato poiché la base giuridica che legittima il trattamento dei dati personali è l’esecuzione di un contratto e/o delle misure precontrattuali.
Alla luce di quanto sopra, è quindi sufficiente implementare in calce al form di raccolta dei dati personali degli utenti una checkbox accompagnata dal wording “Dichiaro di aver letto e compreso l’informativa privacy”.

Tale wording dovrà consentire all’utente di prendere visione dell’informativa privacy caricata sul sito con un semplice click. Il flag di questa checkbox dovrà essere obbligatorio.

 

Qualora la startup intenda, invece, implementare un sito c.d. “dinamico”, quale, ad esempio, un e-commerce, allora le finalità perseguite sono notevolmente maggiori.
Infatti, tramite tale tipologia di sito, di norma, la startup tratta dati personali degli utenti al fine di

  • erogare il servizio e/o vendere il proprio prodotto (registrazione dei pagamenti, adempimenti contabili – fiscali, gestione dei resi e dei reclami etc. );
  • effettuare attività di marketing (e.g. newsletter, indagini di mercato, telefonate, notifiche push ecc.);
  • comunicare i dati a Partner terzi al fine di consentire loro di effettuare attività di marketing;
  • svolgere attività di profilazione (analisi dei comportamenti degli utenti, profilazione delle abitudini di consumo ecc.).

Ancora una volta si renderà necessario predisporre una informativa privacy completa che indichi precisamente tutte le finalità perseguite dal titolare del trattamento, ossia la startup.

Ma non è tutto.

Si rende altresì necessario verificare per quali finalità sia necessario richiedere il consenso da parte dell’interessato.

Sul punto, si fa presente che, per quanto riguarda l’erogazione del servizio e/o vendita del prodotto, ancora una volta non è necessario richiedere un consenso dell’utente poiché la base giudica che legittima il trattamento è l’esecuzione di un contratto.

Per converso, in relazione alle attività di marketing e profilazione è necessario raccogliere consensi separati per ciascuna attività. Pertanto in calce al form di registrazione, a seconda delle finalità perseguite, dovranno essere implementate a titolo esemplificativo le seguenti checkbox:

GDPR e Startup

Ancora una volta, il flag alla prima checkbox sopra elencata è obbligatorio per accedere al servizio, mentre, il consenso per le attività di marketing e di profilazione deve essere libero.

In concreto, occorre che le checkbox in questione non siano pre-flaggate affinché l’utente possa, tramite un’azione positiva, manifestare la propria volontà.
Da ultimo, si fa presente che in entrambi i casi – sito statico ed e-commerce – si renderà necessario implementare la cookie policy e, ove richiesto, l’apposito banner.

Come registrare i consensi all’interno del CRM?

Quanto detto finora rappresenta sicuramente un aspetto importante della corretta raccolta dei dati personali.

Non meno importanti però sono le modalità secondo cui vengono registrati gli eventuali consensi resi dagli interessati.

Infatti è di fondamentale importanza che le startup siano in grado di dimostrare:

  • le finalità per cui tali consensi sono stati raccolti;
  • le modalità di raccolta del consenso;
  • l’informativa sulla base del quale il consenso è stato espresso.

In assenza di anche una sola di queste informazioni il consenso non potrà ritenersi validamente prestato e quindi il dato non potrà essere trattato.

Pertanto, è necessario non solo implementare ex ante informative privacy e maschere di raccolta dei consensi in conformità alla normativa applicabile, ma anche essere in grado di dimostrare ex post di aver correttamente adempiuto a tali obbligazioni.

Sul punto, una prassi raccomandabile è quella di mantenere all’interno di ciascun profilo caricato sul nostro CRM traccia dei consensi rilasciati (orario e IP), del form utilizzato per raccogliere i dati e dell’informativa utilizzata.

Al fine di garantire una maggiore tracciabilità del consenso potrebbe, altresì, essere utile richiedere un’ulteriore azione positiva all’utente (ulteriore rispetto a quella del flag della checkbox) quale, ad esempio, l’invio di un link di conferma dei propri dati e delle proprie preferenze tramite mail.

Da ultimo, si fa presente che i dati raccolti sulla base del consenso devono essere conservati per periodi determinati e, in ogni caso, fino al momento delle revoca da parte dell’utente che deve poter essere manifestata in ogni momento e con la stessa facilità con cui il consenso è stato inizialmente prestato.

Soft spam, che cos’è?

Con riferimento a quanto accennato rispetto al marketing diretto e alla necessità di richiedere uno specifico consenso agli interessati per svolgere tale attività, il legislatore ha previsto un’eccezione a tale regola. Infatti, il Codice Privacy italiano consente alle startup di inviare a mezzo mail ai propri clienti – in assenza di uno specifico consenso – messaggi relativi ai prodotti e/o servizi simili a quelli acquistati dal cliente. Tale attività non può essere estesa ai prospect.

Naturalmente, qualora la startup decida di fare soft spamming è necessario che informi preventivamente il proprio cliente dandone atto all’interno dell’informativa privacy.

Quanto vale un dato raccolto correttamente?

La corretta raccolta e gestione dei dati comporta sicuramente un grande sforzo per le startup ma, allo stesso tempo, può determinare indubbi e significativi vantaggi, soprattutto per le startup che vogliono ampliare il proprio pacchetto clienti.

I vantaggi conseguibili sono esprimibili in termini di miglioramento del servizio offerto e di conseguente vantaggio competitivo e duraturo sul mercato di riferimento.

Ma andiamo con ordine.

Tutte le volte in cui un utente rilascia il proprio consenso per attività di marketing e/o di profilazione consente alla startup di poter avviare campagne promozionali mirate sui propri clienti mediante diverse tipologie di canali e/o intraprendere azioni customizzate progettate sulla base delle abitudini e dei comportamenti degli utenti.

Ciò permette alle startup di instaurare un rapporto diretto con i propri clienti al fine di poter valutare le loro necessità e/o abitudini e migliorare i prodotti e servizi offerti. Sul punto, è quindi fondamentale tenere traccia anche delle azioni compiute dagli utenti, verificando la reazione degli stessi alle azioni di marketing intraprese.

Conoscere le esigenze e le necessità dei propri utenti permette alle startup di acquisire una vera e propria capacità predittiva rispetto alle esigenze future del proprio mercato di riferimento.

In conclusione, possedere una banca dati correttamente e legittimamente creata rappresenta un vero e proprio asset strategico in grado, tra l’altro, di accrescere il valore economico della startup.

L’articolo è stato scritto dagli avvocati Mattia Salerno e Roberta Di Vieto dello studio legale Pirola Pennuto Zei & Associati.

Post suggeriti

Leave a Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Inizia a digitare e premi invio per effettuare una ricerca