Software house alleate di professionisti, imprese e p.a. per l’adeguamento alla privacy. I produttori di gestionali sono responsabili del trattamento, devono fornire ai loro clienti le specifiche tecniche necessarie per dimostrare che sono conformi agli standard previsti dal Gdpr e alla cessazione del servizio devono dare ai clienti il tempo di riprendersi i dati, necessari per la continuità operativa.
Sono queste le prescrizioni più significative del codice di condotta “privacy” che disciplina il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale, promosso da Assosoftware e approvato dal Garante della privacy con il provvedimento n. 618 del 17/10/2024, pubblicato sulla Gazzetta Ufficiale n. 278 del 27/11/2024.
I software gestionali sono diffusissimi e riguardano tutti i processi produttivi (approvvigionamento, magazzino, vendite, fatturazione, rapporti con clienti, gestione documentale ecc.), l’attività dei professionisti (gestione dello studio, contabilità, attività tributarie, lavoristiche, legali e fiscali) e delle Amministrazioni (appalti, gestione delle gare e commesse, ecc.). Si tratta di gestionali sui quali transitano quantità enormi dati personali e per i quali si pone il problema del rispetto della normativa sulla privacy. Il codice di condotta, ad adesione volontaria, è lo strumento previsto dall’articolo 40 del Gdpr per dettagliare in uno specifico ambito gli adempimenti previsti dalla normativa sulla protezione dei dati.
La platea di soggetti coinvolti
Il codice di condotta disciplina:
- le attività di progettazione e sviluppo dei software, che di regola non comportano il trattamento di dati personali;
- le attività di installazione, test, collaudo, assistenza, manutenzione e aggiornamento dei software gestionali, che possono comportare operazioni di trattamento di dati personali eseguite dai produttori per conto dei clienti.
In questa seconda categoria sono comprese, a titolo esemplificativo, le seguenti attività: migrazione dati finalizzata all’installazione del software, attività di assistenza e aggiornamento software con accesso da remoto, acquisizione o esportazione di copia di dati per verifica di problemi tecnici.
Il codice di condotta si applica a ciascun software gestionale per il quale il produttore presenti una richiesta di adesione.
Il codice dettaglia in un allegato (indicato con la lettera “A”) le prescrizioni per l’adeguata protezione dei dati nelle attività di gestione e sviluppo.
Assistenza: chi fa cosa
Con riferimento alle attività di installazione, assistenza e manutenzione, il produttore del software, se tratta dati per conto del cliente, può assumere il ruolo e gli obblighi di responsabile del trattamento ai sensi dell’articolo 28 del Gdpr.
Se, però, il cliente della software house sia esso stesso il fornitore di un cliente finale (come nel caso, per esempio, di professionisti) e, quindi, se il cliente della software house sia già un responsabile del trattamento, in questi casi, la software house rivestirà il ruolo di “ulteriore responsabile”, detto anche “sub-responsabile” (articolo 28, paragrafi 2 e 4, Gdpr).
Al riguardo il codice distingue due contesti, in cui la software house svolge la sua attività.
Può trattarsi di attività svolta in cloud: questo significa che il cliente della software house utilizza il software del produttore attraverso infrastrutture rese disponibili da quest’ultimo (direttamente o tramite suoi sub-fornitori).
Oppure può trattarsi di attività svolta on premise: in questo caso il software è installato su infrastrutture, apparati e sistemi del cliente o di fornitori di quest’ultimo.
Quando la software house agisce in cloud, questa modalità operativa le fa assumere il ruolo di responsabile del trattamento.
Quando, invece, la software house svolge tali attività on premise, essa è da considerarsi responsabile del trattamento solo quando tratta dati. Ciò può avvenire, per esempio, nelle seguenti ipotesi:
- migrazione dati finalizzata all’installazione e al collaudo del software gestionale;
- assistenza e aggiornamento del software gestionale con possibilità (anche occasionale) di accesso remoto ai dati del cliente (per esempio tramite strumenti di help-desk, remoto Vpn, ecc.);
- attività di acquisizione di data base del cliente o esportazione e copia di dati personali del cliente per verificare problematiche di carattere tecnico e svolgere attività di assistenza e manutenzione.
Per i casi in cui agisce come responsabile del trattamento, il codice mette a disposizione un fac simile dell’accordo, che deve essere obbligatoriamente stipulato (articolo 28 Gdpr).
Nello schema di accordo è prevista la possibilità per il cliente di opporsi a eventuali sub fornitori individuati dalla software house, ma non si tratta di un veto, perché il mancato gradimento può portare a uno scioglimento del contratto con la software house.
Una espressa clausola è dettata per i casi in cui il subfornitore sia un soggetto con una forza contrattuale incontrastabile, rispetto al quale non c’è concreta possibilità di negoziare le modalità di erogazione del servizio. Il codice prevede, dunque, che il produttore del software possa avvalersi di questi giganti come sub-responsabili (quali, per esempio, service providers multinazionali di servizi di hosting/data center), i quali forniscono i loro servizi sulla base di condizioni e termini contrattuali dagli stessi fissati e non trattabili, adoperandosi il più possibile ad assistere il cliente. Anche in questo caso, se il sub responsabile non è gradito, il cliente potrà sciogliersi dal contratto con la software house (ma dovrà cercarsi un altro fornitore).
L’aiuto ai clienti
Alcune clausole del codice impegnano le software house ad assistere i loro clienti (di imprese, p.a. e professionisti) nella conformità alla privacy. L’adozione di misure standard nella produzione e fornitura di software da parte dei produttori di software aderenti al codice potrà, infatti, essere usata dai clienti nella gestione degli adempimenti previsti a loro carico dal Gdpr.
In dettaglio il codice vincola i produttori di software a fornire ai loro clienti le informazioni concernenti le caratteristiche ed il funzionamento del software gestionale a livello tecnico, nonché le correlate funzionalità e misure di sicurezza: sono tutte informazioni che confluiranno nell’apparato documentale privacy del cliente.
A questo proposito il codice elenca:
- misure tecniche e organizzative applicate dalle software house per garantire i requisiti di privacy by design e by default nelle attività di sviluppo dei software gestionali (allegato A);
- misure di sicurezza applicate dalle software house per lo svolgimento dei servizi riguardanti i software gestionali impiegati nei contesti on premise e in cloud (allegato B).
In dettaglio, il codice stabilisce, dunque, che l’adozione, da parte del produttore del software, delle misure elencate agli allegati A e B, potrà facilitare i clienti nelle valutazioni condotte dagli stessi nella stesura di misure tecniche e organizzative (articolo 24 Gdpr), privacy by design e by default (articolo 25 Gdpr), analisi dei rischi (articolo 32 Gdpr) e valutazioni di impatto privacy (articolo 35 Gdpr). Inoltre, il riferimento contenuto negli Allegati A e B alle disposizioni applicabili del Gdpr e alle norme internazionali tecniche di rilievo, precisa il codice, permetterà al cliente di condurre autonomamente le verifiche di conformità del software gestionale rispetto alla normativa privacy.
Si cerca di semplificare la vita al cliente, il quale, verificando le misure standard applicate dalla software house, sarà facilitato nel dimostrare la propria conformità al Gdpr.
Il servizio cessa: che succede?
Un momento molto delicato del rapporto tra la software house e il cliente è la cessazione del servizio.
Il codice cerca di disinnescare ogni eventuale contenzioso, prescrivendo che, alla cessazione del servizio, il produttore del software è tenuto alla cancellazione dei dati personali dai sistemi usati per il servizio. Prima, però, di procedere alla cancellazione, il produttore del software deve mantenere a disposizione del cliente i dati personali per un periodo non inferiore a trenta giorni successivi alla cessazione del contratto: il cliente deve avere il tempo di estrarre i dati o chiedere copia secondo le modalità convenute con il produttore del software.
In effetti, i dati sono del cliente e la software house è tenuta a restituirli, affinché il cliente possa continuare a lavorare. D’altra parte, il cliente non può porre a carico delle software house onerosi adempimenti dopo la cessazione del servizio: eventuali ricadute economiche di questi profili sono lasciati alla contrattazione tra le parti.
Adempimenti Gdpr semplificati
Di diretto interesse dei produttori di software sono alcune semplificazioni relative ad adempimenti del Gdpr. Per esempio, in relazione alla tenuta e alla conservazione dei registro delle attività di trattamento, considerato che possono prestare la propria attività di responsabili del trattamento in favore di un elevato numero di clienti quali titolari, i produttori del software possono:
a) indicare i clienti titolari del trattamento tramite il rinvio o il collegamento a schede o banche dati anagrafiche dei medesimi clienti, con i relativi prodotti e/o servizi acquistati;
b) descrivere le categorie dei trattamenti svolti mediante rinvio a schede di servizio o a documentazione tecnica del prodotto o servizio.
Il codice è aperto alla adesione di tutti i produttori di software, anche se non associati ad Assosoftware, i quali possono presentare domanda di adesione al codice di condotta per uno o più software.
Fonte: FederPrivacy