GDPR pentru start-up-uri. Conformitate vs. inovație

Article GDPR pentru startup-uri! Conformitate vs. inovatie si cum privesc investitorii conformarea cu GDPR!

 

 

De-a lungul celor 2 ani care au trecut de la aplicarea Regulamentului 679/2016, s-au scris multe despre GDPR și cu toate acestea, start-up-urile nu au încă o imagine clară despre cum îi afectează regulamentul si care sunt acțiunile pe care ar trebui sa le facă pentru a aborda procesul de conformare cu GDPR în mod corect.  

 

Prin acest articol ne propune să venim în sprijinul acestor afaceri aflate la început de drum, cu schițarea unui road map de conformitate GDPR de care să țină cont chiar de la începuturi. Articolul este o concluzie a webinarului pe aceeași temă organizat în parteneriat cu cei de la start-up.ro (înregistrarea webinarului o găsiți aici).

 

Când trebuie să ia GDPR în considerare un start-up?

Aș spune ca momentul la care avem un MVP  este cel mai potrivit să luăm în calcul procesul de conformitate GDPR.

Intrucat GDPR este una dintre cele mai importante prevederi legislative pentru un start-up, estede preferat să afli de la început dacă ideea/proiectul tău poate fi pus în practică din perspectiva GDPR.

 

Avem în vedere aici scenariul în care anumite soluții tehnice sunt construite (ca arhitectură tehnică) să nu respecte principiile GDPR ceea ce le scoate din start de pe piață. O soluție care nu este GDPR viabilă în Europa, nu va funcționa nicăieri întrucât prin efectul care îl are la nivel mondial prevederile GDPR se regăsesc  la nivelul tuturor legislațiilor importante (SUA, Japonia, Canada etc.).

 

Deci este posibil ca proiectul tău să fie o idee geniala dar să nu poata fi pusa in practica si sa funcționeze pentru că nu poate respecta GDPR. Tocmai de aceea momentul la care ai lansat MVP-ul este momentul la care trebuie sa discuti cu un consultant GDPR iar daca este nevoie să pivotezi cu proiectul cat încă mai există flexibilitate la nivelul ideii și modul ei de implementare.

Pot să fac growth hacking și să fiu conform cu GDPR ?

Growth- hacking-ul este un termen umbrelă pentru strategiile axate exclusiv pe creștere rapidă și agresivă. Strategia aceasta este de obicei utilizată de start-up-urile care au nevoie de creștere rapidă într-un timp scurt și au bugete mici. Scopul strategiilor de growth hacking este, în general, achiziționarea unui număr cât mai mare de utilizatori sau clienți, în timp ce se cheltuiesc cât mai puțin bani, deci impactul GDPR în această strategie vizează în mod special acțiunile de marketing.

 

În activitățile de marketing pe care le folosiți trebuie să vă asigurați că aveți consimțământul utilizatorilor, dacă acel tip specific de activitate de marketing cere în mod obligatoriu consimțământul.

Un alt aspect unde GDPR impactează zona de growth hacking are legătură cu creșterea accelerată și evoluția proceselor de la nivelul companiei. Cu fiecare etapă de scalare, procesele devin mai complexe iar analiza și conformarea lor din perspectiva GDPR devine si ea din ce în ce mai complicat. 

Este nevoie ca orice start-up sa inteleagă ca procesul de conformitate crește odată cu compania. Acest proces nu este o acțiune de tip one time, ci presupune analiza continuă a proceselor și folosirea GDPR în sprijinul obiectivului de business al start-up-ului. 

Rundele de investiții și GDPR

Întrucât GDPR este un proces obligatoriu pentru un start-up el este avut în vedere și de investitori atunci când analizează posibilitatea de a investi într-un start-up.

Investitorii sunt obișnuiți să înțeleagă și să accepte un risc de business cu privire la orice afacere în care investesc însă, riscul de legalitate, de conformitate în cazul acesta cu prevederile GDPR este un risc pe care majoritatea nu vor să și-l asume.

Asta pentru ca GDPR este mai mult decât "hârtii" și are legătură cu modul în care un fondator înțelegere riscurile la care expune afacerea.

Toată lumea se ferește de GDPR din cauza amenzilor mari ce pot fi aplicate pentru neconformitate însă adevăratul risc de legalitate ce decurge din nerespectarea GDPR este interzicerea de a prelucra datele personale ceea ce echivaleaza in unele cazuri cu incetarea activitatii.

Sa ne imaginăm un start-up de genul unei aplicații care oferta livrare de mâncare, (de exemplu TAzz) în acest caz dacă acestui model de business i-ar fi interzis să prelucreze date personale, el nu ar mai putea să înregistreze datele clienților si nu ar mai putea furniza comenzi, deci nu ar mai fi funcționa.

 

Din perspectiva investitorilor analiza privind GDPR se face in cadrul procesului de due dilligence care acum cuprinde și etapa de analiza pe GDPR. Rezultatul raportului de due dilligence poate face diferenta la nivelul sumei investite sau dacă investitorul face investiția sau nu,  în funcție de profilul start-up-ului. Pentru unele, GDPR este mai important decât pentru altele din perspectiva datelor personale pe care le prelucrează și a tipului de serviciu/produs pe care îl oferă.

 

De asemenea un alt aspect important pentru investitori din perspectiva GDPR este dacă start-up are un DPO. Adică o persoana responsabilă cu conformitatea GDPR în start-up. Acesta este obligatoriu în majoritatea  start-up-uri inovative ce prelucrează date personale la scara largă, însă el este privit de investitori și ca o investiție de business atunci cand start-up-urile aleg să folosească un expert pe termen lung, deși nu este obligatoriu. 

Includerea procesului de conformitate GDPR în bugetul de finanțare

Vedem foarte multe start-up-uri care ajung la noi pentru ai ajuta în procesul de conformare GDPR dar care din păcate nu au alocat buget pt acest proces. Este foarte important ca fiecare companie sa inteleaga ca la momentul la care își prezintă cheltuielile către un investitor trebuie sa ia în calcul nu numai bugetul necesar primei etape de conformare GDPR ci și bugetul lunar pentru un DPO. 

 

Dacă cumva accesezi fonduri europene pentru startup-ul tău de asemenea trebuie să ai în vedere aceasta cheltuială în momentul în care faci bugetul proiectului.

Lipsa unui buget adecvat va face ca procesul de conformitate să nu fie optim iar rezultatele să nu aibă efect pozitiv pe termen lung pentru start-up. Consecința unui buget neadecvat și-a  unui proces de conformitate incomplet se vede în momentul scalării cand modul de dezvoltare să nu corespundă cerințelor GDPR și să ajungi într-o situație incertă din perspectiva accesului la piața europeană. Luăm exemplu celor de la Google care au primit o amenda de 50 de milioane de euro în Franța pentru că nu respecta prevederile GDPR.

Ce poate face un start-up pentru a profita la maxim de procesul de conformitate GDPR?

De cele mai multe ori start-up-urile se bazează la început pe forțele unui om sau a unei echipe mici și tocmai de aceea este foarte important să folosească diverse tool-uri de inventariere, care ajuta în managementul acestui proiect, cum ar fi:

  1. Check-list-uri cu măsuri organizatorice
  2. Check list-uri cu măsuri securitate (ex. standardul OWASP)
  3. Check-list cu documentele obligatorii din perspectiva GDPR

La momentul la care avem un MVP este obligatoriu sa discutam cu un expert în protecția datelor pentru a înțelege cum integrăm conformitate GDPR în strategia de dezvoltare.

Concluzii

Deși poate fi dificil de înțeles GDPR este aici și nu mai pleacă, ceea ce înseamnă ca trebuie să il tratam ca pe orice alt proces normal dintr-o companie. Cu cat il luăm în considerare mai devreme cu atat procesul este mai ușor si mai puțin costisitor.

 

Dacă ai un start-up si vrei sa ceri sfatul unui specialist nu ezita să ne scrii la office@decalex.ro sau la formularul din pagina de contact.

Share:
Cristiana Deca
Autor: Cristiana Deca Expert in protectia datelor, Privacy UX, Business Consultant
Cristiana are o experienta de 10 ani in antreprenoriat, timp in care a dezvoltat mai multe business-uri in diverse domenii. Pasionata de protectia datelor si project management, de 7 ani coordoneaza proiectele de implementare a strategiilor GDPR in companii.

PUNE O INTREBARE