Quella lean è una filosofia che accomuna molte iniziative imprenditoriali che nascono sotto forma di startup. L’approccio teorizzato da Eric Ries nel saggio denominato appunto The Lean Startup, in italiano Partire Leggeri, evidenzia e valorizza le peculiarità della startup rispetto all’impresa tradizionale. Gli esperti del settore che leggono questo articolo mi perdoneranno alcune semplificazioni ma, per quanto ho compreso, il metodo lean suggerisce un approccio alternativo al fare impresa, soprattutto nella sua fase di lancio. Se l’impresa tradizionale normalmente investe molto sullo sviluppo di un prodotto complesso, che viene lanciato sul mercato solo quando ha raggiunto le caratteristiche di prodotto completo e finito, la startup invece si focalizza sulla realizzazione di un minimum viable product (MVP) o prodotto minimo commercializzabile, che viene poi lanciato sul mercato e, dal lancio in poi, continuamente testato per poter essere adeguato alle risposte degli utenti. Infatti, se il prodotto è digitale o contiene un’importante componente digitale, il comportamento degli utenti può (da un punto di vista tecnico) essere analizzato anche in modo estremamente dettagliato, orientando così verso l’auspicato successo il prodotto stesso. L’approccio lean, dove applicabile, permette una riduzione drastica dei costi di progettazione iniziale e, di conseguenza, rende meno dannoso (in termini di investimento, tempo e, in generale, risorse) il fallimento dell’idea alla base del prodotto. Se invece l’idea alla base del prodotto è gradita al mercato, l’approccio lean permette di investire nello sviluppo del prodotto i profitti derivanti dalla commercializzazione precoce dell’MVP. Un approccio, insomma, alla portata di chi ha buone idee e pochi soldi, come la grande maggioranza delle startup.
In un contesto caratterizzato dalla scarsità di risorse può essere difficile far comprendere l’opportunità di investire una quota di queste nella protezione dei dati personali. Nelle startup in fase di lancio, l’attenzione è concentrata quasi esclusivamente sulle caratteristiche tecniche del prodotto, ed ogni forma di distrazione delle risorse verso altre destinazioni, diciamo più di natura strutturale, può essere vista come una dispersione. Eppure, la giusta considerazione delle tematiche privacy può rappresentare una delle chiavi del successo dell’idea, per una serie di ragioni.
La prima. Lo sviluppo del prodotto con il metodo lean presuppone normalmente la raccolta di un’importante quantità di dati personali (recensioni, commenti, test a campione, ma anche e soprattutto analisi del comportamento degli utilizzatori dell’MVP) volti a testare il recepimento del prodotto da parte degli utilizzatori. Raccogliere ed analizzare queste informazioni senza una cornice di rispetto delle regole a tutela dei dati può rappresentare, in caso di controllo da parte di un’autorità, la pietra tombale per il progetto e l’azienda che lo promuove. Soprattutto se il prodotto ha l’ambizione di rivolgersi al grande pubblico e, dunque, è accessibile a chiunque.
La seconda. Sviluppare una soluzione informatica senza tenere conto dell’impatto che il trattamento dei dati può avere sui diritti e le libertà delle persone può portare, in una seconda fase, a dover smontare l’intera architettura o una parte di essa, andando a modificare sensibilmente le caratteristiche del prodotto. In altri termini, la cosiddetta privacy by design non risponde solo a logiche di compliance, ma anche e soprattutto a logiche economiche: ogni soluzione tecnica ha dei risvolti sulle vite delle persone, e questi risvolti vanno analizzati contestualmente alla progettazione, per evitare di dovere, in una seconda fase, smontare pezzo pezzo quanto è stato faticosamente creato.
La terza. La sensibilità del pubblico rispetto ai temi della protezione dei dati personali sta aumentando in modo importante. È difficile oggi considerare la protezione un elemento accessorio di un prodotto, per quanto esso sia un prodotto minimo commercializzabile, e questo sia nella percezione dell’utente che nella percezione dello sviluppatore.
La quarta. Come noto, non esistono prodotti “neutrali”. Ogni prodotto è l’espressione (più o meno trasparente) del pensiero di chi lo ha realizzato o, ancora meglio, della vision, della mission, della filosofia che definiscono l’identità dell’organizzazione che ne è alla base. L’etica aziendale (intesa come contesto valoriale) è comunicata, sì, attraverso i codici etici e le dichiarazioni ufficiali, ma è espressa soprattutto attraverso le caratteristiche intrinseche dei prodotti e dei servizi che l’impresa commercializza. Dall’etica poi deriva la reputazione. Che reputazione può guadagnare un’azienda che nei fatti non considera prioritario aderire alla legge e proteggere i dati dei suoi utenti? Che reputazione può guadagnare, invece, un’organizzazione che (per quanto piccola) sa implementare e comunicare, fin dalla sua partenza, l’attenzione verso i suoi utenti sotto forma di protezione dei loro dati?
Ecco, dunque, due necessità apparentemente in contrasto. Partire leggeri, da un lato, evitando ogni sovrastruttura e costo non indispensabili, e dall’altro riconoscere la dovuta importanza alla protezione dei dati. La risposta a questo dilemma è tutto sommato semplice. Anche la privacy, in un contesto di startup, deve avere un approccio lean. Può apparire un approccio poco ortodosso, per chi ha una concezione tradizionale della legge. In realtà, l’impostazione è coerente con il Regolamento UE per la protezione dei dati personali (GDPR), in particolare con gli articoli 24 e 25 dello stesso, laddove nell’adottare le misure a protezione dei dati il titolare è tenuto ad una serie di valutazioni preliminari che tengano conto, tra l’altro, del livello di gravità delle minacce e dei costi di attuazione delle misure stesse. Approccio lean alla privacy non significa eccessiva discrezionalità né minimizzazione degli obblighi normativi, ma significa piuttosto presidiare il rischio con un atteggiamento attento, continuo e progressivo, che va di pari passo con la crescita del prodotto. In un contesto lean, l’attenzione alla privacy deve accompagnare ogni passaggio della creazione del prodotto, prima durante e dopo il suo lancio sul mercato ma, al tempo stesso, evitare di ingabbiare il prodotto in sovrastrutture rigide e costose (in termini di prezzo per la loro realizzazione ma ancor più in termini di risorse necessarie alla loro attuazione).
In conclusione, penso che l’approccio lean sia compatibile con l’attenzione alla privacy, e penso che la privacy a sua volta possa essere lean. Ma ancor di più, sono convinto che la sfida sia alla portata di tutte le startup e che la giusta sensibilità al tema possa addirittura in alcuni casi fare la differenza tra una startup di successo ed una destinata all’oblio.