Italy Founder Series: Privacy per Startup – I primi passi

7 minute read | March.06.2025

English: Privacy for Startups – First Moves

Quando si avvia una startup in Italia, è fondamentale rispettare specifici requisiti in tema di protezione dei dati. Non farlo, può comportare rischi significativi in termini di responsabilità nei confronti degli interessati, nonché potenziali sanzioni.

Gestire correttamente la protezione dei dati garantisce conformità alle leggi e contribuisce a costruire la fiducia di dipendenti, clienti e fornitori, facilitando uno sviluppo più fluido del business.

Per identificare correttamente i principali problemi relativi alla protezione dei dati, le startup dovrebbero considerare quanto segue:

1. Le tipologie di dati trattati e il settore di attività.

Tipologie di dati

Il GDPR (e le leggi sulla privacy in generale) si applica ogni volta che vengono trattati dati personali. Qualora la startup, nello svolgimento delle attività in Europa, sia in grado di identificare direttamente o indirettamente una persona fisica, allora il GDPR trova applicazione. I dati personali includono qualsiasi informazione relativa a una persona fisica identificata o identificabile, come nomi, numeri di telefono, indirizzi IP o indirizzi email.
Alcuni dati personali sono considerati particolarmente sensibili e richiedono una conformità alle leggi rigorosa. È il caso, ad esempio, dei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici o relativi alla salute o i dati riguardanti la vita sessuale o l’orientamento sessuale di una persona fisica.

Settore di attività

Avviare un’attività B2B oppure una B2C influenzerà gli obblighi dal punto di vista della privacy.

Le aziende B2B trattano tipicamente dati personali relativi ai loro dipendenti o ai dipendenti dei loro clienti e fornitori di servizi.
Le aziende B2C trattano tipicamente i dati personali di tutti i loro clienti, e devono quindi gestire tutti gli obblighi correlati.
Alcuni settori hanno specifici punti di attenzione dal punto di vista della protezione dei dati: è il caso, ad esempio, dei servizi di pagamento, dei servizi di telecomunicazione o delle aziende che operano nel settore sanitario.

2. Considerare il tipo di servizi che innescano il trattamento dei dati personali

Se da un lato, come abbiamo detto, le aziende B2B avranno probabilmente meno categorie di dati personali da trattare (principalmente i dati dei dipendenti), le aziende B2C dovranno, invece, identificare in maniera puntuale in quale modo i loro servizi impatteranno sul trattamento dei dati personali dei loro clienti.

La startup deve valutare se uno qualsiasi dei propri servizi coinvolgono attività che prevedono il trattamento di dati personali.
Infatti, qualsiasi operazione eseguita su dati personali – come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione tramite trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione - è rilevante dal punto di vista della privacy ed è soggetta agli obblighi di protezione dei dati.

Tale valutazione aiuterà l’azienda a predisporre informative e policy sulla privacy accurati e a mettere in atto le giuste misure di sicurezza.

3. Considerare in quali casi la startup opererà come titolare del trattamento o come responsabile del trattamento

Le aziende possono trattare dati personali sia come titolari del trattamento che come responsabili del trattamento.

I titolari del trattamento sono quei soggetti che determinano le finalità e i mezzi del trattamento dei dati personali.
I responsabili del trattamento sono quei soggetti che trattano dati personali per conto del titolare.

La startup deve identificare quando agisce come titolare del trattamento o come responsabile del trattamento per rispettare correttamente gli obblighi di legge rilevanti.

Ad esempio, tipicamente:

tutte le aziende operano come titolari del trattamento in relazione ai dati personali dei propri dipendenti. Questo perché l’azienda decide come e quali dati devono essere trattati per, ad esempio, adempiere agli obblighi contrattuali, esercitare specifici diritti del titolare stesso o dell’interessato nel campo del diritto del lavoro e della sicurezza sociale e della protezione sociale. Ad esempio, l’Azienda A, che avvia un processo di selezione del personale, sarà il titolare del trattamento dei dati personali del candidato contenuti nel CV fornito per il processo di selezione.
Le aziende B2C di solito operano come titolari del trattamento in relazione ai dati personali dei propri clienti. Questo perché l’azienda decide quale tipo di dati personali dei clienti deve trattare e per quali finalità. Ad esempio, qualora il dipartimento marketing dell’Azienda A lanci una campagna pubblicitaria per promuovere i suoi prodotti, l’Azienda A si qualificherà come titolare del trattamento con riferimento ai dati personali dei suoi clienti a cui è indirizzata la campagna di marketing, poiché l’Azienda A è il soggetto che determina le finalità e i mezzi del trattamento di tali dati.
Le aziende B2B spesso operano come responsabili del trattamento dei dati sulla base di accordi specifici stipulati con i propri clienti business, che, a loro volta, saranno i titolari del trattamento dei propri clienti finali. Questo perché il cliente business decide quale tipo di dati personali relativi ai propri clienti finali devono essere trattati e per quali finalità. In questo scenario, la startup B2B tratterà i suddetti dati personali su istruzioni del proprio cliente business e, nel farlo, si atterrà a tali istruzioni. Ad esempio, qualora l’Azienda A (il cliente business) voglia adottare una nuova soluzione cloud per memorizzare i dati personali dei suoi dipendenti, l’Azienda A può acquistare la soluzione cloud dall’Azienda B (la startup). A questo punto, l’Azienda B tratterà (mediante conservazione) i dati personali relativi ai dipendenti dell’Azienda A in qualità di responsabile del trattamento e, nel farlo, dovrà rispettare le istruzioni ricevute dall’Azienda A. Tali istruzioni saranno contenute in un accordo ad hoc per il trattamento dei dati stipulato tra l’Azienda A e l’Azienda B.

4. Misure pratiche per la conformità

Una volta che la startup, tipicamente con il supporto di consulenti specializzati, ha identificato:

quali categorie di dati personali tratterà;
come i suoi servizi impatteranno sul trattamento dei dati; e
in quali casi opereranno come titolare del trattamento o come responsabile del trattamento,

può iniziare il percorso di conformità alla normativa, seguendo i punti pratici seguenti:

Allocare risorse per soddisfare gli obblighi di conformità per la protezione dei dati, come nominare un responsabile della privacy o anche un Responsabile della Protezione dei Dati (DPO) che si occuperà di redigere la documentazione sulla privacy.
Identificare tutte le attività di raccolta e trattamento dei dati personali.
Redigere un’informativa sulla privacy per ciascuna categoria di interessati i cui dati sono trattati (clienti, dipendenti, partner, collaboratori, fornitori, ecc.), delineando, tra l’altro, come i dati personali vengono raccolti, trattati e protetti.
Identificare e implementare misure di sicurezza e politiche che garantiscano un trattamento sicuro e protetto dei dati personali in questione.
Redigere e aggiornare il registro delle attività di trattamento, che consiste essenzialmente in un registro che include tutti i tipi di trattamenti di dati personali raccolti effettuati dall’azienda. Infatti, anche se per alcune aziende questo non è obbligatorio, questo esercizio di mappatura dei dati può aiutare l’azienda a tenere traccia delle attività messe in atto dal punto di vista della privacy e prevenire eventuali rischi.
Prestare particolare attenzione alla conformità web-based, in particolare per le startup che operano tramite piattaforme, siti web o e-commerce. Per i siti “statici”, fornire un’informativa sulla privacy che soddisfi i requisiti dell’Articolo 13 del GDPR. Per i siti “dinamici”, garantire informative sulla privacy e sui cookie complete e meccanismi di consenso esplicito per attività di profilazione e marketing, ove applicabile.
Identificare eventuali altri obblighi privacy applicabili caso per caso per garantire la piena conformità con il GDPR e le altre leggi locali sulla privacy.
Comprendere che l’outsourcing dei servizi IT non esonera dalla responsabilità. Formalizzare accordi con fornitori esterni che trattano dati personali, come richiesto dall’Articolo 28 del GDPR.

5. Sviluppare una cultura della privacy

Formare i dipendenti sulle pratiche di protezione dei dati e promuovere una cultura che valorizzi la privacy.
Garantire che tutti i dipendenti comprendano la loro responsabilità nelle attività di protezione dei dati personali e siano consapevoli delle conseguenze di eventuali violazioni è una risorsa chiave per prevenire violazioni dei dati personali e conformità con gli obblighi.
Riconoscere il valore commerciale di una forte reputazione in ambito privacy. In un mercato sempre più focalizzato sulla privacy, le aziende che dimostrano un forte impegno in quest’area possono distinguersi.

Occuparsi di queste tematiche rilevanti è per le startup un’ottima opportunità per creare una reputazione solida in materia di protezione dei dati e rafforzare il rapporto di fiducia con i propri clienti.

Il nostro team Tech è a vostra disposizione per fornirvi consulenza in materia di protezione dei dati, in modo che possiate concentrarvi sulla crescita della vostra startup. Qualora desideriate maggiori dettagli su uno degli argomenti sopra citati, potete contattare gli autori del presente articolo.

Authors

Andrea Mezzetti Of Counsel, Artificial Intelligence (AI), Proprietà intellettuale

Roma

See my bio

D:+3906 4521 3917
E: amezzetti@orrick.com

Practice:

Artificial Intelligence (AI)
Proprietà intellettuale
Technology & Innovation
Technology Transactions

vCard

See full bio

Andrea Mezzetti Of Counsel

Roma

Andrea lavora da 20 anni nel mondo dell'Information Technology & Communications, e fornisce consulenza a clienti nazionali ed internazionali sia in materia regolamentare che su tematiche di natura commerciale. Con una comprovata esperienza in materia di contrattualistica nel mondo tech, Andrea affianca primari player di settore con particolare riferimento agli aspetti normativi delle nuove tecnologie e alla redazione e negoziazione di contratti strategici per il lancio di nuove tipologie di servizi e accordi specifici di settore.

In qualità di esperto della materia, Andrea è spesso invitato a partecipare a numerosi tavoli tecnici presso Autorità indipendenti e ministeriali, ed è membro di diverse associazioni di settore. È altresì regolarmente invitato da prestigiose università italiane a tenere lezioni su argomenti legati al diritto della tecnologia.

Andrea è autore di numerosi paper e approfondimenti sulla materia. Collabora regolarmente con numerose riviste nazionali e internazionali, redigendo articoli su temi legati alle telecomunicazioni, alla tutela dei consumatori e alla tecnologia. Partecipa in qualità di relatore a diversi convegni, seminari e master riguardanti il settore TMT in Italia.

Related Lawyers

Attilio Mazzilli Partner, Technology & Innovation, Mergers & Acquisitions

Milano

See my bio

D:+39 02 4541 3800
E: amazzilli@orrick.com

Practice:

Technology & Innovation
Mergers & Acquisitions

vCard

See full bio

Attilio Mazzilli Partner

Milano

Attilio è un profondo conoscitore dell’ecosistema tech sia nazionale che internazionale. La sua attività si concentra principalmente sulla consulenza legale in materia di fusioni e acquisizioni (M&A) sia cross-border che nazionali, di operazioni di private equity e venture capital.

Attilio ha una comprovata esperienza nell'assistenza a società nazionali e multinazionali, nonché a fondi di private equity, in operazioni di M&A e di investimento. Grazie alla sua spiccata comprensione delle dinamiche del mondo tech, è diventato un punto di riferimento per le società che devono stare al passo con le evoluzioni del mercato sfruttando al meglio le opportunità derivanti da investimenti e dalle operazioni di M&A, con l’obiettivo di facilitare crescita, innovazione e vantaggio competitivo in un panorama commerciale complesso.

Nel più ampio contesto dell'innovazione, Attilio affianca società Tech e fondi di Venture Capital sotto ogni profilo legale, supportando i clienti ad identificare e valutare le potenziali opportunità di investimento, in particolare in settori a rapida crescita e innovazione. Grazie alla sua conoscenza approfondita delle tendenze di mercato e delle complessità legate allo processo di sviluppo di una startup, Attilio affianca gli investitori nel processo di allocazione efficace del loro capitale.

Attilio affianca inoltre le società tech in tutte le fasi del loro ciclo di vita, dalle fasi seed di raccolta ai round più avanzati come i serie A e B, fino alle possibili exit. La sua consulenza copre la pianificazione strategica, la corporate governance e gli aspetti regolamentari. Attilio offre supporto su misura per aiutare queste startup a scalare la propria idea, perfezionare i modelli di business e attrarre ulteriori investimenti. La sua esperienza è importante anche per preparare queste società a vari scenari di exit, attraverso acquisizioni, fusioni o IPO, garantendo che i fondatori e gli investitori realizzino il pieno valore delle loro imprese.

Italia