Data protection and tech startups: The need for attention, support, and scrutiny

• Published in: Policy and internet Vol. 13; no. 2; pp. 278 - 299
• Main Authors: Norval, Chris, Janssen, Heleen, Cobbe, Jennifer, Singh, Jatinder
• Format: Journal Article
• Language: English
• Published: 01.06.2021
• Subjects: compliance; data protection; data subject rights; emerging technology; General Data Protection Regulation (GDPR); privacy by design; supervisory authorities; tech‐startups
• ISSN: 1944-2866; 1944-2866
• DOI: 10.1002/poi3.255

Though discussions of data protection have focused on the larger, more established organisations, startups also warrant attention. This is particularly so for tech startups, who are often innovating at the ‘cutting‐edge’—pushing the boundaries of technologies that typically lack established data protection best‐practices. Initial decisions taken by startups could well have long‐term impacts, and their actions may inform (for better or for worse) how particular technologies and the applications they support are implemented, deployed, and perceived for years to come. Ensuring that the innovations and practices of tech startups are sound, appropriate and acceptable should therefore be a high priority. This paper explores the attitudes and preparedness of tech startups to issues of data protection. We interviewed a series of UK‐based emerging tech startups as the EU's General Data Protection Regulation (GDPR) came into effect, which revealed areas in which there is a disconnect between the approaches of the startups and the nature and requirements of the GDPR. We discuss the misconceptions and associated risks facing innovative tech startups and offer a number of considerations for the firms and supervisory authorities alike. In light of our discussions, and given what is at stake, we argue that more needs to be done to help ensure that emerging technologies and the practices of the companies that operate them better align with the regulatory obligations. We conclude that tech startups warrant increased attention, support, and scrutiny to raise the standard of data protection for the benefit of us all. 摘要 尽管关于数据保护的辩论一直聚焦于更大型的、更有名的组织，但初创企业也值得关注。这对科技初创企业尤为如此，它们经常在“前沿”进行创新—突破往往缺少数据保护最佳实践的技术的边界。初创企业的最初决策能产生长期影响，并且其行动能（不论好坏地）影响未来几年里这些科技如何被实施、部署和感知。因此，确保科技初创企业的创新和实践是健全的、适宜的、可接受的，这应是首要重点。 本文探究了科技初创企业在数据保护议题上的态度和准备。我们在《欧盟数据保护通用条例》（GDPR）开始生效时采访了一系列英国的新兴初创企业，结果显示了初创企业的方法与GDPR的性质及要求之间存在不衔接的那些领域。我们探讨了创新科技初创企业面临的错误观念和相关风险，并为企业和监督机构提供了一系列应考量的因素。鉴于关键议题，我们在探讨部分中论证认为，需要付出更多来帮助保证新兴科技（以及使用这些科技的企业的实践）更好地与监管义务保持一致。我们的结论认为，科技初创企业值得更多的关注、支持和监督，以提高数据保护标准，造福所有人。 Resumen Si bien las discusiones sobre la protección de datos se han centrado en las organizaciones más grandes y establecidas, las nuevas empresas también merecen atención. Esto es particularmente cierto para las nuevas empresas tecnológicas, que a menudo están innovando a la "vanguardia", superando los límites de las tecnologías que generalmente carecen de las mejores prácticas de protección de datos establecidas. Las decisiones iniciales tomadas por las nuevas empresas podrían tener impactos a largo plazo, y sus acciones pueden informar (para bien o para mal) cómo se implementan, despliegan y perciben estas tecnologías en los próximos años. Por lo tanto, garantizar que las innovaciones y prácticas de las nuevas empresas tecnológicas sean sólidas, apropiadas y aceptables debe ser una alta prioridad. Este documento explora las actitudes y la preparación de las nuevas empresas tecnológicas ante los problemas de protección de datos. Entrevistamos a una serie de startups de tecnología emergente con sede en el Reino Unido cuando entró en vigor el Reglamento General de Protección de Datos (GDPR) de la UE, que reveló áreas en las que existe una desconexión entre los enfoques de las startups y la naturaleza y los requisitos del GDPR. . Discutimos los conceptos erróneos y los riesgos asociados que enfrentan las nuevas empresas tecnológicas innovadoras y ofrecemos una serie de consideraciones para las empresas y las autoridades supervisoras por igual. A la luz de nuestras discusiones, y dado lo que está en juego, argumentamos que es necesario hacer más para ayudar a garantizar que las tecnologías emergentes (y de hecho, las prácticas de las empresas que las operan) se alineen mejor con las obligaciones regulatorias. Concluimos que las nuevas empresas tecnológicas merecen mayor atención, apoyo y escrutinio para elevar el estándar de protección de datos en beneficio de todos nosotros.