Il Garante per la protezione dei dati personali ha approvato il codice di condotta per lo sviluppo e la produzione di software gestionali: destinato alle micro, piccole e medie imprese operanti in Italia, il documento fissa le regole e i limiti per il trattamento dei dati personali.

L’iniziativa, in conformità con l’articolo 40 del GDPR, mira a rafforzare la certezza del diritto per titolari e responsabili del trattamento e a consolidare la fiducia degli interessati riguardo alla corretta gestione dei dati che li riguardano.

Questo codice è stato promosso dalle imprese produttrici di software gestionale aderenti ad Assosoftware, l’associazione di Confindustria che rappresenta le aziende del settore.

Tuttavia, anche le software house non associate ad Assosoftware hanno la possibilità di presentare domanda di adesione, purché i loro software rispettino i requisiti previsti dal codice di condotta.

Le ragioni che hanno portato Assosoftware a promuovere il codice di condotta è che in un contesto sempre più digitale, diventa imprescindibile per le software house garantire che tutte le fasi del ciclo di vita del software gestionale – dalla progettazione e sviluppo fino all’installazione e all’uso – siano improntate a rigorosi standard di protezione dei dati personali. Questo non solo per rispettare le normative in vigore, ma anche per rafforzare la fiducia degli utenti, spingendo così l’adozione di soluzioni gestionali che favoriscano la transizione digitale e l’innovazione delle imprese.

Il software gestionale, infatti, è fondamentale per automatizzare i processi aziendali più critici, come la gestione degli approvvigionamenti, del magazzino, delle vendite, della fatturazione, dei rapporti con i clienti e della gestione documentale.

Un impatto significativo si ha anche in ambito professionale, dove questi strumenti sono utilizzati per la gestione di attività contabili, tributarie e legali, e nelle Pubbliche Amministrazioni, ad esempio nei processi di e-procurement e nelle gare d’appalto. In tutti questi ambiti, la protezione dei dati personali è un aspetto fondamentale da considerare.

Software gestionali: gli obiettivi del Codice di condotta

Questo codice stabilisce un sistema uniforme e avanzato, un’architettura robusta e coerente che garantisce che ogni software prodotto e messo sul mercato rispetti i principi di protezione dei dati fin dalla sua progettazione (by design) e per impostazione predefinita (by default). Non si tratta di misure improvvisate o di conformità minima: è un approccio integrato e proattivo che costruisce la protezione dei dati nel DNA stesso del software, fin dal momento in cui viene pensato.

Le misure tecniche e organizzative previste sono calibrate per essere adeguate e proporzionate a ogni fase del ciclo di vita del software, tenendo conto delle sfide e delle variabili che emergono nel trattamento dei dati personali. Questo approccio non solo assicura la conformità al regolamento, ma garantisce anche che ogni prodotto risponda a standard di sicurezza di alto livello, minimizzando i rischi e massimizzando la protezione.

La vera forza di questo sistema risiede nel fatto che non si limita a “rispondere” alle normative esistenti. Piuttosto, anticipa le necessità e gli imprevisti, integrando la protezione dei dati in ogni fase della creazione e dell’utilizzo del software. Così, chi adotta queste soluzioni non si limita a soddisfare un requisito legale, ma si impegna a realizzare un ecosistema digitale sicuro e resiliente, capace di affrontare le sfide future senza compromessi.

Si chiariscono i ruoli soggettivi ai fini privacy individuando le software house come titolare, responsabile del trattamento oppure Sub-responsabile a seconda delle condizioni concrete, indicando anche uno schema esemplificativo ma non obbligatorio di nomina.

La chiave qui è l’approccio preventivo e integrato alla protezione dei dati, che dovrebbe essere visto non come un ostacolo, ma come un’opportunità per rafforzare la sicurezza e la sostenibilità dei sistemi digitali, con l’intento di preservare la fiducia dei consumatori e degli enti pubblici in un mondo sempre più interconnesso e digitale.

Tra conformità e innovazione: novità nel codice di condotta

L’approvazione del codice di condotta da parte del Garante per la protezione dei dati personali rappresenta una garanzia importante per il rispetto del GDPR, in quanto mira a promuovere l’effettiva attuazione delle normative e a rafforzare la fiducia degli interessati sulla corretta gestione dei loro dati.

L’approvazione del codice di condotta da parte del Garante per la protezione dei dati personali rappresenta una garanzia concreta del rispetto del GDPR, favorendo un’applicazione coerente e uniforme delle normative.

Tuttavia, va sottolineato che gran parte di quanto previsto nel codice si limita a richiamare e ribadire obblighi già stabiliti dalla normativa europea e nazionale, come il registro delle attività di trattamento, l’analisi dei rischi, l’adozione delle misure tecniche e organizzative, il ruolo di Amministratore di sistema, il perimetro preciso delle responsabilità nel caso di soluzioni on premise, la gestione del data breach e del ruolo degli autorizzati al trattamento.

Questi aspetti, pur essendo fondamentali, non introducono novità sostanziali.

Le vere novità introdotte dal codice, tuttavia, sono di notevole importanza e vanno a consolidare la trasparenza e la responsabilizzazione delle software house. Ad esempio, il produttore di software si impegna a rispondere tempestivamente alle richieste del cliente, fornendo tutte le informazioni necessarie per dimostrare il rispetto degli obblighi relativi al trattamento dei dati.

Questo impegno include la disponibilità delle informazioni necessarie per garantire la conformità alle disposizioni del GDPR.

Inoltre, il produttore si impegna a consentire al cliente di svolgere verifiche sul trattamento dei dati effettuato per l’erogazione dei servizi, in linea con quanto previsto dall’articolo 28, paragrafo 3, lett. h) del regolamento.

Un altro punto fondamentale riguarda la gestione dei dati personali dopo la cessazione del contratto: il produttore di software dovrà mantenere i dati disponibili per il cliente per un periodo minimo di 30 giorni, consentendo al cliente di estrarre, copiare o esportare i dati, anche in un formato strutturato, leggibile da macchina, qualora necessario.

Questa disposizione permette al cliente di esercitare i diritti relativi ai dati personali, come la rettifica, la cancellazione, l’accesso, l’estrazione e la limitazione del trattamento, rafforzando la protezione dei dati e la trasparenza del processo.

In sintesi, sebbene il codice di condotta richiami obblighi già esistenti, le novità introdotte sono significative, in quanto rafforzano la responsabilizzazione del produttore di software, migliorano la trasparenza e garantiscono ai clienti maggiori strumenti per verificare e gestire i dati trattati.

Le garanzie sulla sicurezza dei software

Il codice di condotta introduce una garanzia cruciale riguardo agli standard di sicurezza dei software, assicurando che gli eventuali aggiornamenti e modifiche apportati nel tempo dal produttore, anche in risposta all’evoluzione tecnologica, non comportino una riduzione del livello complessivo di sicurezza dei servizi erogati e delle attività svolte.

In altre parole, ogni cambiamento o miglioramento tecnico dovrà essere orientato a mantenere o accrescere gli standard di protezione già stabiliti, evitando qualsiasi compromesso sulla sicurezza.

Inoltre, il produttore di software si impegna a fornire in modo trasparente una descrizione dettagliata delle misure di sicurezza applicate. Questo impegno ha lo scopo di permettere al cliente di valutare, in modo informato, se il software gestionale acquistato soddisfi le proprie specifiche esigenze e i requisiti di sicurezza richiesti, offrendo così una visibilità totale e la certezza che il prodotto rispetti gli standard previsti.

La sfida dell’automazione nella progettazione del software

Esiste un problema tecnico significativo legato al rispetto dei diritti degli interessati, in particolare per quanto riguarda la possibilità di esercitare in modo efficace diritti fondamentali come la rettifica, la cancellazione, l’accesso, l’estrazione o l’esportazione dei dati personali trattati attraverso software gestionali.

Molti software, infatti, non sono progettati in modo da consentire agli utenti di compiere queste operazioni in modo semplice e conforme alle normative, creando un gap tecnologico che rende difficile la piena protezione dei diritti degli interessati.

Il codice di condotta interviene proprio per colmare questa lacuna, introducendo specifiche garanzie tecniche e organizzative. In particolare, prevede che il software consenta di compiere le operazioni necessarie per rettificare, cancellare, accedere, estrapolare o esportare i propri dati personali, ove necessario in un formato strutturato, comunemente usato e leggibile da una macchina.

Questo approccio mira a rendere il software compatibile con i requisiti di protezione dei dati, facilitando l’esercizio dei diritti degli interessati, anche quando si tratta di gestire grandi quantità di dati.

Inoltre, il produttore del software si impegna a fornire informazioni chiare e dettagliate sulla gestione dei dati, mettendo a disposizione una documentazione tecnica completa e facilmente accessibile al cliente.

Tale documentazione, che diventa parte integrante dell’accordo contrattuale, consente al cliente di comprendere come il software supporti la gestione dei dati in conformità con le disposizioni normative, garantendo trasparenza e facilitando l’esercizio dei diritti da parte degli interessati.

Obblighi di cancellazione e garanzie di continuità

A seguito della cessazione del contratto, il produttore del software è tenuto a mantenere i dati personali a disposizione del cliente per un periodo minimo di 30 giorni.

Questo arco temporale consente al cliente di estrarre o richiedere copie dei dati trattati, garantendo così che possa adempiere ai propri obblighi legali o organizzativi anche dopo la conclusione del rapporto contrattuale.