GDPR per incubatori e acceleratori: tra compliance e investimenti

Incubatori e acceleratori sono delle realtà presenti da diversi anni su tutto il territorio italiano e favoriscono lo sviluppo dell’ecosistema delle start-up, italiane e non, anche tramite investimenti propri.

In considerazione della propria attività, e dei dati personali che vengono trattati, questi enti hanno bisogno di comprendere come rapportarsi al GDPR per la tutela tramite la compliance, da un lato, e la valorizzazione delle tecnologie e dei dati/database per gli investimenti, dall’altro.

 

La compliance comporta l’adeguamento delle strutture al GDPR tramite la revisione dei processi di trattamento dati e la redazione dei documenti obbligatori o, se del caso, facoltativi (a tiolo esemplificativo codici di condotta art. 40 GDPR o certificazioni art. 42 GDPR) se ritenuti utili per dimostrare il rispetto del principio di accountability come disciplinato dall’art. 24 GDPR.

Solitamente (senza, però, limitarsi) i “canonici” processi di trattamento dati degli incubatori e acceleratori possono partire dai meri eventi e attività formativi, sino ad arrivare ai veri e propri percorsi per lo sviluppo delle start-up. In merito a detti percorsi, bisogna stare bene attenti a definire, in primis, quelli che sono gli interessati al trattamento dati, ovvero le persone fisiche identificate o identificabili (art. 4 GDPR) delle quali vengono trattati i dati.

 

Oltre alla corretta identificazione degli interessati, bisognerà effettuare una corretta valutazione del periodo di conservazione dei dati in quanto, come spesso accade, i dati vengono conservati per archivio o per poter identificare casi e mentorship di successo senza disporre delle politiche di conservazione di tali dati. In questi casi, è particolarmente utile l’adozione del registro delle attività del trattamento del titolare ex art. 30 GDPR, co. 1, per identificare le singole operazioni di trattamento con (almeno) le seguenti informazioni:

  • Identificativi e dati di contatto del titolare
  • Finalità del singolo trattamento
  • Descrizione di categorie di interessati e di dati personali
  • Categorie di destinatari delle comunicazioni dei dati personali ed eventuali paesi terzi od organizzazioni internazionali
  • Periodo di conservazione
  • Descrizione generale delle misure di sicurezza (tecniche e organizzative) di cui all’art. 32 GDPR.
  • Oltre al suggerimento di adozione del registro, bisognerà indicare quelli che sono i documenti obbligatori, ovvero le informative per fornire le informazioni agli interessati (art. 13 GDPR), le nomine ex artt. 28 e 29 GDPR, effettuare una valutazione dei rischi e, eventualmente, una valutazione d’impatto ex art. 35 GDPR.

 

Effettuato l’adeguamento alle disposizioni relative al trattamento dati e predisposti gli interventi di auditing per il monitoraggio per verificare il costante livello di compliance, viene il momento di valutare il rapporto collaborativo che il GDPR può avere in relazione alle partecipazioni societarie che, di percorso in percorso, l’incubatore/acceleratore acquisisce in start-up che operano in diversi settori industriali e diverse tecnologie.  In primis, per poter effettuare talune tipologie di investimenti, è importante effettuare una due diligence con particolare riferimento ai rischi legali per tecnologie e database.

 

In merito alle tecnologie quali intelligenza artificiale, IoT e blockchain (non si escludano il resto delle tecnologie), bisogna visionare e valutare il livello di rischio valutato dalla start-up e, qualora ciò non sia, richiedere che questo venga effettuato previamente rispetto all’investimento altrimenti l’investitore (incubatore/acceleratore in questo caso) dovrà effettuare tale valutazione post investimento.

In merito ai database, è importante valutare la liceità del trattamento di questi dati, ovvero la presenza di almeno uno dei requisiti di cui all’art. 6 GDPR, tra i quali spicca sicuramente il consenso della lett. a) senza, però, escludere o limitare l’utilizzo strategico del legittimo interesse disciplinato dalla lett. f). Tale condizione di liceità, ed è di fondamentale importanza, deve essere valutata per ogni operazione di trattamento dati: a titolo esemplificativo, uno stesso interessato potrebbe essere soggetto all’operazione di trattamento newsletter e cessione di dati a terzi, trattamenti che richiedono due consensi diversi essendo due diverse finalità.

Effettuata la due diligence del caso e valutata la fattibilità economico-legale-tecnologica dell’investimento sarà il momento di inserire all’interno del menzionato registro del trattamento le operazioni qualora vi sia una titolarità del trattamento in quanto obbligatorio, altrimenti potrà essere consigliabile mantenere un registro degli investimenti con le relative operazioni di trattamento.

Ogni investimento, inoltre, comporta singole valutazioni del rischio ed eventualmente una relativa valutazione d’impatto, sempre qualora vi sia l’obbligo in caso di titolarità del trattamento.

 

In ogni caso, qualora si voglia poter comunicare i dati infragruppo tra le società partecipate andranno rivisti i processi del trattamento e, se del caso, aggiornate le informative del trattamento con le relative condizioni di liceità e relativo periodo di conservazione dei dati personali: tutto ciò, se effettuato a seguito dell’elaborazione di una data strategy permetterà di valorizzare il database e poterli monetizzare aggiungendo revenues alla start-up e, più in generale, all’incubatore.