Promozione della conformità normativa e protezione dei dati personali
Il 27 novembre 2024, è entrato in vigore il “Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale,” approvato dal Garante per la protezione dei dati personali. Questo codice rappresenta un importante tassello per la conformità normativa e la promozione di standard elevati nel settore dei software gestionali, chiave per l’innovazione digitale.
Obiettivi del Codice di Condotta
L’obiettivo principale del Codice di Condotta è duplice: promuovere l’innovazione tecnologica e garantire il massimo livello di protezione dei dati personali. Questo codice è stato promosso dall’associazione AssoSoftware, in collaborazione con gli uffici del Garante per la protezione dei dati personali, e si rivolge ai produttori di software gestionale aderenti ad AssoSoftware.
Centralità del Software Gestionale
Il software gestionale non è solo un fattore tecnologico, ma un motore per la modernizzazione dei processi produttivi e la digitalizzazione delle PMI (Piccole e Medie Imprese). Il Codice di Condotta risponde a questa duplice esigenza, rafforzando la fiducia degli utenti verso le soluzioni offerte.
Privacy by Design e By Default
Il Codice stabilisce che ogni software gestionale debba integrare sin dalla progettazione funzionalità che garantiscano la sicurezza e la protezione dei dati personali. Questo è essenziale per garantire la “compliance al GDPR by design” e aumentare la fiducia degli utilizzatori del software.
Applicazione del Codice
Il Codice di Condotta è applicabile esclusivamente al territorio italiano, anche se le software house possono avvalersi di infrastrutture e sub-reponsabili in UE e extra-UE. È riferito alle attività di trattamento di dati personali poste in essere dai produttori del software e si applica a tutti i software destinati a professionisti, imprese e Pubbliche Amministrazioni, utilizzati per automatizzare processi interni (gestione contabile, documentale, magazzino, vendite, ecc.).
Responsabilità del Produttore
Il produttore del software sarà responsabile o sub-responsabile del trattamento dei dati personali nei contesti relativi alla esecuzione dei servizi in cloud. In via teorica, nei contesti on premise, l’intervento della software house non implicherebbe il trattamento di dati personali se limitato a mera fornitura di una licenza del software e non anche di servizi correlati. Tuttavia, il produttore dovrà essere nominato responsabile del trattamento laddove chiamato a svolgere attività tecniche connesse alla installazione, assistenza e manutenzione del software gestionale che possano comportare un trattamento di dati personali.
Misure Tecniche e Organizzative
Il Codice prevede l’adozione di misure tecniche e organizzative per garantire i requisiti di Privacy by design e by default nelle attività di sviluppo dei software gestionali. Queste misure includono la valutazione dei rischi dei trattamenti dei dati personali, la previsione di funzionalità e misure tecniche e organizzative che consentano al cliente di garantire un adeguato livello di protezione ai dati personali trattati attraverso il software gestionale.
Allegati e Documentazione
Il Codice di Condotta include due allegati importanti: l’allegato A relativo alle “Misure tecniche e organizzative … per garantire i requisiti di Privacy by design e by default nelle attività di sviluppo dei Software Gestionali” e l’allegato B inerente alle “Misure di sicurezza applicate dalle SWH per lo svolgimento dei servizi riguardanti i SW Gestionali impiegati nei contesti on premise e in cloud”.
Schema di Accordo per il Trattamento dei Dati Personal
L’allegato 3 al Codice propone uno schema esemplificativo e non vincolante dei principali contenuti dell’Accordo da stipulare sul trattamento dei dati personali, elaborato sulla base delle Linee guida dell’European Data Protection Board 7/2020 su titolare e responsabile del trattamento. Questo schema è importante per regolare le relazioni privacy fra cliente e software house con riguardo agli applicativi forniti.
Suggerimenti e Consigli
1. Valutazione dei Rischi
- Valuta i rischi: Prima di iniziare lo sviluppo del software, valuta i rischi associati al trattamento dei dati personali. Questo ti aiuterà a identificare le misure necessarie per proteggere i dati.
2. Implementazione di Misure Tecniche
- Implementa misure tecniche: Assicurati di implementare misure tecniche e organizzative che garantiscano la sicurezza e la protezione dei dati personali. Queste misure includono la crittografia, l’autenticazione e la gestione delle autorizzazioni.
3. Documentazione
- Documenta le attività: Documenta tutte le attività di sviluppo e produzione del software, inclusa la valutazione dei rischi e l’implementazione delle misure tecniche. Questo ti aiuterà a dimostrare la conformità al Codice di Condotta.
4. Formazione degli Utenti
- Forma gli utenti: Assicurati che gli utenti del software siano formati sulla protezione dei dati personali e sulle misure tecniche implementate. Questo ti aiuterà a garantire che i dati siano trattati correttamente.
5. Monitoraggio Continuo
- Monitora continuamente: Monitora continuamente le attività di trattamento dei dati personali e aggiorna le misure tecniche e organizzative in base alle nuove esigenze e alle nuove tecnologie.
Risorse Utili
- Regolamento UE 679/2016 (GDPR): Consulta il Regolamento UE 679/2016 (GDPR) per conoscere i requisiti di protezione dei dati personali.
- Linee guida dell’European Data Protection Board 7/2020: Consulta le Linee guida dell’European Data Protection Board 7/2020 per conoscere le best practice relative al titolare e responsabile del trattamento.
- AssoSoftware: Contatta AssoSoftware per avere ulteriori informazioni sul Codice di Condotta e per ricevere supporto nella sua implementazione.
Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale è un importante strumento per garantire la protezione dei dati personali e promuovere l’innovazione tecnologica. Seguendo i suggerimenti e i consigli forniti, potrai assicurarti di essere conforme al Codice e di proteggere i dati personali dei tuoi clienti.
