Il recente Codice di Condotta, promosso da AssoSoftware ed approvato dal Garante per la Protezione dei Dati Personali, rappresenta un’importante riferimento per il settore dei software gestionali.
Pubblicato nella Gazzetta Ufficiale del 27 novembre 2024, il codice stabilisce regole chiare per la progettazione, lo sviluppo e l’utilizzo di software, con l’obiettivo di garantire il rispetto dei principi di protezione dei dati personali “by design” e “by default”. Tra i punti cardine, emerge una regolamentazione precisa del rapporto tra Titolare del Trattamento (TdT) e Responsabile del Trattamento (RdT).
Il Codice di Condotta stabilisce regole e limiti tesi ad assicurare che ogni software prodotto rispetti i principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default). Le misure tecniche e organizzative previste sono calibrate per essere adeguate e proporzionate a ogni fase del ciclo di vita del software, tenendo conto delle sfide e delle variabili che emergono nel trattamento dei dati personali.
Un aspetto rilevante del codice riguarda la gestione dei dati personali dopo la cessazione del contratto: il produttore di software che ha aderito al CdC (come sappiamo l’adesione ad un CdC è volontaria) è tenuto a mantenere i dati disponibili per il cliente per un periodo minimo di 30 giorni, consentendo al cliente di estrarre, copiare o esportare i dati, anche in un formato strutturato e leggibile da macchina, qualora necessario. Questo rafforza la protezione dei dati e la trasparenza del processo.
Inoltre, il codice introduce garanzie riguardo agli standard di sicurezza dei software, assicurando che eventuali aggiornamenti e modifiche apportati nel tempo dal produttore non riducano il livello complessivo di sicurezza dei servizi erogati e delle attività svolte. Il produttore si impegna anche a fornire una descrizione dettagliata delle misure di sicurezza applicate, permettendo al cliente di valutare se il software gestionale acquistato soddisfi le proprie specifiche esigenze e i requisiti di sicurezza richiesti.
Ruoli e responsabilità: il rapporto tra TdT e RdT
Uno degli aspetti più rilevanti del Codice riguarda la definizione delle responsabilità tra il produttore del software gestionale e i suoi clienti, in relazione al trattamento dei dati personali.
Quando il produttore è Responsabile del Trattamento
Il Codice chiarisce che il produttore può assumere il ruolo di RdT in situazioni specifiche, come:
- Servizi in Cloud (SaaS): Quando i dati personali del cliente vengono trattati direttamente dal produttore nel contesto di un servizio erogato in cloud.
- Attività di assistenza tecnica e manutenzione: Se il produttore accede ai dati personali del cliente per fornire supporto tecnico o risolvere problemi, si configura come RdT. Questo accesso deve essere formalizzato attraverso un contratto o altro atto giuridico conforme all’articolo 28 del GDPR, che disciplini:
- Le finalità e modalità del trattamento.
- Gli obblighi reciproci delle parti.
- Le misure tecniche e organizzative per garantire la sicurezza dei dati.
Quando il produttore non è Responsabile del Trattamento
Il Codice distingue chiaramente i casi in cui il produttore non assume alcun ruolo attivo nel trattamento dei dati personali. Ad esempio:
- Fornitura di software standalone: Quando il software viene utilizzato in un ambiente locale (on-premise) e il produttore non accede ai dati personali trattati dal cliente.
- Assistenza tecnica senza accesso ai dati: Se l’intervento tecnico si limita a fornire strumenti, indicazioni o aggiornamenti che non comportano l’accesso ai dati personali.
Chiarezza contrattuale e principi di accountability
Il Codice enfatizza la necessità di contratti chiari e trasparenti tra produttore e cliente. Questi contratti devono:
- Definire esplicitamente i ruoli delle parti (TdT e RdT).
- Dettare le condizioni di accesso e trattamento dei dati personali, ove applicabile.
- Garantire la conformità con il GDPR, promuovendo il principio di responsabilizzazione (accountability).
Chiarimenti introdotti dal Codice di Condotta
Il Codice di Condotta fornisce indicazioni specifiche per distinguere i ruoli:
- Contratti e documentazione: È essenziale che i contratti stipulati tra il cliente e il produttore chiariscano la natura del rapporto (TdT-RdT o semplice fornitura di prodotto). La mancanza di chiarezza può portare a responsabilità condivise o ad ambiguità, con potenziali rischi legali.
- Trasparenza nei trattamenti: Il produttore deve garantire che, in caso di ruolo come RdT, ogni trattamento sia documentato e svolto in conformità alle istruzioni del cliente.
- Obblighi di accountability: In qualità di RdT, il produttore deve fornire al cliente tutte le informazioni necessarie per dimostrare la conformità alle normative sulla protezione dei dati.
Nello specifico:
art. 3 sub iii) la comunicazione in modo trasparente al cliente delle caratteristiche di sicurezza e di privacy by design del software gestionale, in modo che possa valutare sotto la propria responsabilita’ se, sul piano tecnico, il medesimo Software e’ conforme alle proprie esigenze e alle caratteristiche specifiche del trattamento di dati personali che intende effettuare tramite lo stesso. Ove il cliente ritenga necessarie misure aggiuntive, il produttore del software puo’ valutarne la fattibilita’ tecnica e gli oneri associati.
Un passo avanti per la protezione dei dati
Il Codice di Condotta non si limita alla definizione dei ruoli tra TdT e RdT, ma introduce anche importanti garanzie per:
- Trasparenza nei trattamenti: Il produttore deve documentare e comunicare chiaramente le operazioni di trattamento eseguite.
- Continuità e sicurezza dei dati: Dopo la cessazione del contratto, i dati devono rimanere disponibili per il cliente per un periodo minimo di 30 giorni, con possibilità di esportarli in formato strutturato e leggibile da macchina.
- Aggiornamenti e sicurezza: Gli aggiornamenti del software non devono ridurre il livello di protezione garantito, e il produttore è tenuto a mantenere alti standard di sicurezza.
Conclusioni
Con l’approvazione di questo Codice, il settore dei software gestionali si dota di un quadro di riferimento – ovviamente volontario – che promuove trasparenza, sicurezza e conformità al GDPR. La chiara distinzione dei ruoli tra TdT e RdT, unita all’attenzione sulla protezione dei dati fin dalla progettazione, rappresenta un modello innovativo per le aziende del settore.
Il nuovo Codice di Condotta AssoSoftware segna quindi un passo significativo verso una migliore compliance del settore, in grado di rafforzare la fiducia tra produttori e clienti, contribuendo allo stesso tempo alla protezione dei dati personali trattati dagli applicativi e componenti software gestionali. Ribadiamo che l’adesione al CdC è volontaria e non obbligata.