29/11/2024 - Italia Oggi
Privacy, software house in aiuto
Software house in aiuto di imprese, PA e professionisti per la conformità alla privacy. L'adozione di misure standard nella produzione e fornitura di software potrà, infatti, essere usata dai clienti nella gestione degli adempimenti previsti a loro carico dal Gdpr. È quanto prevede il codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale, promosso da Assosoftware e approvato dal Garante della privacy con il provvedimento n. 618 del 17/10/2024, pubblicato sulla Gazzetta Ufficiale n. 278 del 27/11/2024. Il codice, che interessa tutte le aziende produttrici di software gestionale per piccole e medie imprese, professionisti e PA, mette a disposizione i fac simile del contratto "privacy" con i clienti e dei documenti relativi alle misure di sicurezza. Il codice è aperto a tutti gli operatori del settore, anche se non associati ad Assosoftware, che possono presentare domanda di adesione per uno o più software gestionali. Questi sono diffusissimi e riguardano tutti i processi produttivi (approvvigionamento, magazzino, vendite, fatturazione, rapporti con clienti, gestione documentale ecc.), l'attività dei professionisti (gestione dello studio, contabilità, attività tributarie, lavoristiche, legali e fiscali) e delle Amministrazioni (appalti, gestione delle gare e commesse, ecc.). Si tratta di gestionali, sui quali transitano costantemente dati personali, e per i quali si pone il problema del rispetto della normativa sulla privacy. Il codice di condotta riguarda gli adempimenti privacy per le attività di progettazione e sviluppo, installazione, test, collaudo, assistenza, manutenzione e aggiornamento dei software. Per queste ultime attività molto spesso i produttori di software compiono operazioni di trattamento per conto dei clienti: ciò avviene, ad esempio, nel caso di attività di migrazione dati finalizzata all'installazione del software, attività di assistenza e aggiornamento con accesso da remoto, acquisizione o esportazione di copia di dati per verifica di problemi tecnici, ecc. A questo riguardo, un'importante precisazione del codice di condotta riguarda i ruoli privacy. In relazione alle attività tecniche, che comportano operazioni di trattamento di dati personali per conto del cliente, il produttore del software assume il ruolo responsabile del trattamento (articolo 28 regolamento UE 2016/679, Gdpr); se, però, (come nel caso di professionisti) il cliente sia già responsabile del trattamento, la software house rivestirà il ruolo di sub-responsabile. Per questi casi il codice ha predisposto lo schema di accordo tra cliente e software ai sensi dell'articolo 28 del Gdpr. Il provvedimento si occupa anche di misure di sicurezza: tramite il rispetto delle misure previste dal codice, infatti, i produttori di software potranno, di fatto, agevolare i clienti, che sono tenuti, in base al Gdpr, a compilare atti di analisi dei rischi e valutazione di impatto privacy relative ai trattamenti per cui fanno uso dei software: in sostanza si cerca di semplificare la vita al cliente, il quale, verificando le misure standard applicate dalla software house (delle quali il codice in esame fornisce fac simile), sarà facilitato nel dimostrare la propria conformità al Gdpr. Il codice di condotta individua modalità semplificate di compilazione del registro del trattamento (articolo 30 Gdpr), molto utile nel caso di un numero elevato di clienti. Per alcuni campi del registro, infatti, le software house potranno fare rinvio a documenti aziendali, come le banche dati anagrafiche dei clienti, le schede di servizio o la documentazione tecnica di prodotti e servizi.
ANTONIO CICCIA MESSINA