DELIBERA 17 ottobre 2024 – Approvazione del codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e accreditamento dell’organismo di monitoraggio. (Provvedimento n. 618). (24A06197) (GU Serie Generale n.278 del 27-11-2024)
-
- 22 Gennaio 2025
Con delibera del 17 ottobre 2024, il garante per la protezione dei dati personali (di seguito, “Garante”) ha approvato il codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e accreditamento dell’organismo di monitoraggio.[1]
Il documento in esame dovrà essere attenzionato dai titolari del trattamento (enti e aziende) per il tramite degli uffici Acquisti e dei sistemi Informativi aziendali, chiamati costantemente a confrontarsi con suddette tematiche, sia in fase di stipula dei capitolati di gara che in fase di acquisto e utilizzo dei software gestionali.
Come noto l’adesione ad un codice di condotta puo’ essere utilizzata come elemento di responsabilizzazione (c.d. accountability), in quanto consente di dimostrare la conformità dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, par. 3, e 28, par. 5, e 32, par. 3 del regolamento).
Per questo motivo il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un’attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano;
Le imprese produttrici del software gestionale aderenti ad Assosoftware hanno promosso l’adozione del presente codice di condotta sulla base di quanto previsto dall’art. 40 del regolamento (UE) n. 679/2016 – regolamento Generale sulla Protezione dei Dati (di seguito denominato «Regolamento» o «GDPR») emerge la concreta esigenza per le imprese produttrici rappresentate da Assosoftware di assicurare che le attività dalle stesse svolte nell’ambito dell’intero ciclo di vita del software gestionale, dalla sua progettazione, produzione e sviluppo sino alla sua installazione e messa in esercizio, si conformino ad elevati livelli di protezione dei dati personali, allo scopo di favorire il rispetto del regolamento e di rafforzare la fiducia degli utilizzatori del software verso l’adozione dei soluzioni gestionali in grado di realizzare la transizione digitale e l’innovazione produttiva. Il software gestionale, infatti, consente l’automazione dei principali processi interni di imprese (es. processi di approvvigionamento, gestione del magazzino, vendite, fatturazione, rapporti con i clienti, gestione documentale etc.), di professionisti (es. software per la gestione dello studio professionale, delle attività contabilità’, tributarie, lavoristiche, legali e fiscali) e delle Pubbliche Amministrazioni (es. processi di e-procurement, gestione delle gare e commesse, etc.), con un evidente e notevole impatto sugli aspetti relativi alla protezione dei dati personali.
I produttori del software hanno inteso attraverso il presente codice definire un sistema uniforme ed avanzato di regole di condotta e misure tecniche e organizzative, per assicurare che i software prodotti e resi disponibili sul mercato siano sviluppati nel rispetto dei principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default), al fine di dimostrare la conformita’ alle disposizioni del regolamento e di rafforzare la fiducia verso la digitalizzazione dei servizi e processi degli operatori economici ed istituzionali che li utilizzano, assicurando un adeguato livello di tutela dei dati personali trattati tramite l’impiego dei medesimi software.
L’adozione del presente codice di condotta e l’adesione da parte delle Software House (SWH) per uno o piu’ prodotti dagli stessi sviluppati sono volte quindi a promuovere tra i clienti richiedenti ed utilizzatori di Software Gestionali:
i. la conformità by design/default di tali Software al regolamento ed alla normativa nazionale applicabile in materia di protezione dei dati;[2]
ii. l’adeguatezza delle misure tecniche e organizzative offerte dai Produttori in relazione all’intero ciclo di vita dei Software sviluppati, ove impiegati per attività di trattamento di dati personali.
Il codice in esame ha ad oggetto non solo le attività di progettazione e sviluppo dei Software, che di regola non comportano il trattamento di dati personali, ma anche le attività di installazione, test, collaudo, assistenza, manutenzione e aggiornamento dei Software Gestionali, che possono comportare operazioni di trattamento di dati personali eseguite dai Produttori per conto dei clienti.[3]
Queste ultime attività possono essere svolte in diversi contesti:
(i) on premise, ossia quando il Software è installato su infrastrutture, apparati e sistemi del cliente (o di fornitori di quest’ultimo), e
(ii) cloud, laddove il cliente utilizzi il Software del produttore attraverso infrastrutture rese disponibili da quest’ultimo (direttamente o tramite suoi sub-fornitori).
Ambito di applicazione
Il codice di condotta e’ riferito alle attivita’ di trattamento di dati personali poste in essere dai produttori del software nei contesti di cui in premessa, limitatamente al territorio dello Stato Italiano ed e’ applicabile unicamente a livello nazionale.
Detto codice di condotta e’ applicabile nei confronti di ciascun software gestionale.
Definizioni
Ai fini del presente codice di condotta, si applicano le definizioni previste dall’art. 4 del regolamento.
Ai medesimi fini, si intende per:
a) produttori del software (anche produttore, Software House o SWH): le imprese che progettano, sviluppano e producono Software Gestionali;
b) software gestionale: i programmi di elaborazione elettronica che consentono ad aziende, professionisti e pubbliche amministrazioni di automatizzare, informatizzandoli, i processi di organizzazione e gestione delle rispettive attività;
c) servizi: i servizi relativi alle attività di installazione, messa in esercizio, assistenza, manutenzione, gestione, aggiornamento del software gestionale prodotto dalla SWH;
d) Attività di Sviluppo: le attività di progettazione, sviluppo e produzione del software gestionale, che non comportano di regola lo svolgimento di attività di trattamento di dati personali;
e) clienti: i soggetti che richiedono ai Produttori lo sviluppo ed installazione dei Software Gestionali e le connesse attività di manutenzione ed assistenza, sottoscrivendo i relativi contratti od accordi di licenza e utilizzo;
f) Utenti: le persone fisiche (quali, ad es., rappresentanti, esponenti, dipendenti e collaboratori) autorizzate (i) dal cliente ad accedere ed utilizzare per suo conto il Software e i relativi servizi, e/o (ii) dal produttore del software a svolgere i servizi;
g) Accordo sul trattamento dei dati personali: l’accordo scritto sul trattamento dei dati personali sottoscritto dal produttore del software e dal cliente ai sensi dell’art. 28 del regolamento per lo svolgimento dei servizi;
Progettazione e sviluppo di SW Gestionali nel rispetto dei Privacy by design e by default
Le Attivita’ di Sviluppo dei Software Gestionali sono improntate al rispetto dei principi di protezione dei dati sin dalla progettazione e per impostazione predefinita, di cui all’art. 25 del regolamento, e vengono documentate dai produttori del software attraverso:
i) la valutazione dei rischi dei trattamenti dei dati personali cui il software gestionale e’ preordinato;
ii) la previsione di funzionalita’, misure tecniche e organizzative che consentano al cliente, quale titolare o responsabile del trattamento, di garantire un adeguato livello di protezione ai dati personali trattati attraverso il software gestionale;
iii) la comunicazione in modo trasparente al cliente delle caratteristiche di sicurezza e di privacy by design del software gestionale, in modo che possa valutare sotto la propria responsabilita’ se, sul piano tecnico, il medesimo Software e’ conforme alle proprie esigenze e alle caratteristiche specifiche del trattamento di dati personali che intende effettuare tramite lo stesso. Ove il cliente ritenga necessarie misure aggiuntive, il produttore del software puo’ valutarne la fattibilita’ tecnica e gli oneri associati.
Nella progettazione e sviluppo dei Software Gestionali, i Produttori si attengono alle misure indicate nell’allegato A del presente codice al fine di:
– assicurare un adeguato livello di protezione dei dati personali trattati tramite il software gestionale;
– offrire le idonee garanzie richieste, a livello tecnico e di sicurezza, dal regolamento;
– facilitare, anche attraverso il riferimento alle corrispondenti disposizioni del regolamento e delle norme internazionali pertinenti, i clienti, gli Interessati, ecc. nelle valutazioni sulla conformità del Software ai requisiti del presente codice.
Ruolo della SWH quale responsabile del trattamento: garanzie, obblighi e responsabilita’
Attraverso l’adesione al presente codice il produttore del software assicura l’adeguatezza delle garanzie prestate quale responsabile o Sub-responsabile del trattamento, ai sensi dell’art. 28, par. 1, del regolamento, ferma restando la possibilità di integrare eventualmente tali garanzie anche tramite l’adesione ad ulteriori codici di condotta, ove applicabili, oppure certificazioni o l’adesione a best practice di settore (quali, ad es., le norme ISO).
Non rientra tra gli obblighi a carico del produttore del software la determinazione dei presupposti di liceità delle attività di trattamento dei dati svolte per conto del cliente. Resta ferma la possibilità per il produttore del software di rifiutarsi di eseguire attività di trattamento dei dati che risultino palesemente in contrasto con la vigente normativa in materia di protezione dei dati personali, dandone evidenza al cliente.
Accordo sul trattamento dei dati personali con il cliente
Il produttore del software stipula con il cliente, anche in forma elettronica, un Accordo sul trattamento dei dati personali ai sensi dell’art. 28 del regolamento e in osservanza delle Linee guida del Comitato Europeo per la Protezione dei Dati («EDPB») attualmente applicabili a tale riguardo (cfr. Linee Guida n. 7/2020).
Laddove i servizi siano erogati ad un elevato numero di clienti, il produttore del software puo’ proporre un proprio schema di Accordo ex art. 28, contenente tutti gli elementi di cui all’art. 28.3 e avente condizioni contrattuali uniformi e indicazione delle misure tecniche e organizzative garantite, che permetta un’omogenea ed efficace gestione degli obblighi assunti.
Ricorso della SWH a sub-responsabili del trattamento
Ai fini del presente articolo, si configura quale «Sub-responsabile» del trattamento il soggetto esterno (persona fisica o giuridica), a cui sono affidati dalla SWH servizi che comportano un trattamento di dati personali effettuato dal medesimo produttore quale responsabile o Sub-responsabile per conto del cliente e che abbiano un rapporto di diretta dipendenza funzionale rispetto ai servizi o attivita’ oggetto del contratto in essere tra il produttore del software ed il medesimo cliente, quale titolare del trattamento.
Trattamenti per i quali la SWH agisce in qualita’ di titolare del trattamento
Il produttore del software agisce in qualita’ di titolare del trattamento dei dati personali riferiti al cliente, ove si tratti di persona fisica, e/o alle persone fisiche che sono i rappresentanti, esponenti, referenti, dipendenti e collaboratori del cliente (ove si tratti di persona giuridica, ente o associazione), acquisiti per lo svolgimento delle proprie attivita’ amministrative, contabili, organizzative e tecniche correlate o strumentali alla gestione del rapporto contrattuale con il medesimo cliente (ad es., per la definizione e sottoscrizione del contratto, fatturazione dei servizi, gestione di accessi ed uso del software gestionale, gestione e manutenzione dei relativi sistemi e piattaforme, assistenza ed attivita’ di help-desk a supporto degli Utenti del cliente, ecc.).
Per le attivita’ di trattamento dei dati personali svolte in qualita’ di titolare del trattamento, il produttore del software e’ tenuto al rispetto dei conseguenti obblighi previsti dal regolamento, ad integrazione degli obblighi allo stesso direttamente spettanti quale responsabile o Sub-responsabile del trattamento in base al regolamento e al codice di condotta.
Il produttore del software, quale titolare del trattamento, puo’ trattare i dati personali riferiti al cliente e ai relativi Utenti (raccolti attraverso l’accesso e l’uso del software gestionale e delle relative funzionalita’) esclusivamente in forma aggregata, mediante il calcolo di opportune metriche e indicatori, per il perseguimento di legittimi interessi correlati a finalita’ statistiche, di analisi, studio e ricerca volte a migliorare la sicurezza, le prestazioni e le funzionalita’ dei medesimi Software e dei connessi servizi, a beneficio anche degli stessi clienti che ne fruiscono. Per tali finalita’, l’elaborazione dei predetti dati personali e’ effettuata dal produttore del software previa adozione di tecniche di pseudonimizzazione o cifratura dei dati in modo tale da limitare la diretta riconducibilita’ delle informazioni agli Interessati, nonche’ sulla base della preventiva informativa fornita agli interessati circa le suddette finalita’ del trattamento e i legittimi interessi perseguiti.
Analisi dei rischi e valutazione d’impatto sulla protezione dati
Il produttore del software, per quanto di relativa competenza, avuto conto della natura dei dati, del tipo di trattamento effettuato nonche’ delle informazioni in suo possesso, coopera con il cliente per permettergli di adempiere ai propri obblighi di legge in tema di analisi dei rischi e valutazione d’impatto sulla protezione dati, fornendogli le informazioni concernenti le caratteristiche ed il funzionamento del software gestionale a livello tecnico, nonche’ le correlate funzionalita’ e misure di sicurezza. A tal fine, oltre alle informazioni gia’ contenute nel contratto di servizio e nell’Accordo sul trattamento dei dati personali, il produttore del software potra’ procedere alla fornitura di certificazioni, attestazioni e documentazioni tecniche e di sicurezza basate su standard di riferimento del settore, nonche’ dell’eventuale, ulteriore documentazione tecnica e di sicurezza predisposta dal medesimo produttore a tal fine.
Resta fermo, l’adempimento da parte del produttore del software, quale titolare del trattamento, degli obblighi in tema di analisi dei rischi e adozione delle adeguate misure tecniche ed organizzative, nonche’ di valutazione d’impatto sulla protezione dati previsti dagli articoli 24, 25, 35 e 36 del regolamento.
Misure adottate per la sicurezza del trattamento dei dati personali
Qualora il software gestionale sia utilizzato in modalita’ on premise, resta esclusa dalla responsabilita’ del produttore del software l’adozione delle misure idonee a proteggere le infrastrutture, i sistemi e i dispositivi utilizzati dal cliente per accedere al Software (tra cui, ad esempio, le attivita’ di salvataggio e backup dei dati personali e protezione dell’infrastruttura da malware).
Gli eventuali aggiornamenti e modifiche del software gestionale apportati via via nel tempo dal produttore del software, anche in rapporto all’evoluzione tecnologica non potranno comportare una riduzione del livello di sicurezza complessivo dei servizi erogati e delle attivita’ prestate.
Il produttore del software si impegna a mettere a disposizione in modo trasparente una descrizione delle misure di sicurezza applicate allo scopo di consentire al cliente di valutare la rispondenza del software gestionale acquistato rispetto alle proprie esigenze e requisiti di sicurezza.
Nel caso in cui il produttore del software svolga attivita’ tecniche riconducibili alle funzioni di amministratore di sistema, fermo quanto previsto al precedente art. 4.4, lo stesso produttore provvede, nei termini individuati nell’Accordo sul trattamento dei dati personali con il cliente, all’attuazione di misure organizzative e tecniche adeguate nel rispetto del Provvedimento del Garante recante misure e accorgimenti in materia di amministratori di sistema.
Gestione degli incidenti di sicurezza
Il produttore del software assicura l’adozione di una procedura documentata che regolamenti la gestione degli incidenti di sicurezza che possano configurare una violazione dei dati personali (c.d. «Data Breach») ai sensi dell’art. 4, par. 1, numero 12) del regolamento. La procedura deve definire nello specifico le azioni che il produttore del software, quale responsabile del trattamento, deve porre in essere, nonche’ le informazioni che deve necessariamente fornire ai clienti per consentire l’adempimento dei relativi obblighi ai sensi degli articoli 33 e 34 del regolamento.
La procedura deve garantire l’adeguato e tempestivo coinvolgimento del responsabile della Protezione dei Dati e delle funzioni interne (es. assistenza, IT, ricerca e sviluppo) interessate dall’incidente, nonche’ la tempestiva adozione di misure atte a limitare o mitigare l’impatto del medesimo sui trattamenti.
Qualora, in base alle verifiche interne condotte, risulti confermata con ragionevole grado di certezza l’esistenza della violazione, il produttore del software ne dara’ comunicazione al cliente senza ingiustificato ritardo, e comunque, ove possibile, entro 48 ore, fermo restando che e’ esclusivo onere del cliente, ove titolare del trattamento, stabilire se l’incidente e’ classificabile come Data Breach e se il rischio per gli interessati e’ tale da richiedere la notifica all’Autorita’ di controllo e la comunicazione agli interessati coinvolti ai sensi dei richiamati articoli 33 e 34
del regolamento. Sara’ altresi’ onere del cliente, qualora operi quale responsabile del trattamento per conto di un titolare del trattamento, informarlo tempestivamente non appena ricevuta la comunicazione della potenziale violazione da parte della SWH quale Sub-responsabile di tale trattamento.
I produttori del software devono assicurare il rispetto degli obblighi del presente articolo anche da parte dei sub-responsabili di cui si avvalgono ai fini dell’erogazione dei servizi al cliente, vincolandoli a comunicare alla Software House in modo tempestivo e senza ingiustificato ritardo eventuali incidenti di sicurezza, non appena ne siano venuti a conoscenza.
Assistenza al cliente nella gestione delle richieste per l’esercizio dei diritti degli interessati
In relazione alle misure organizzative e tecniche da adottarsi al fine di prestare assistenza al cliente, quale titolare del trattamento, nel riscontro delle richieste di esercizio dei diritti degli interessati di cui al capo III del regolamento, il produttore di Software si impegna, ove tecnicamente possibile in base alle caratteristiche del software gestionale, a mettere a disposizione del cliente funzionalita’ che gli consentono di effettuare le operazioni volte a rettificare, cancellare, accedere, estrapolare o esportare (ove necessario, in un formato strutturato, comunemente usato e leggibile da una macchina) i dati personali trattati per il tramite del medesimo Software, nonche’ a limitarne il trattamento, fornendo idonee informazioni esplicative al riguardo anche nell’ambito della documentazione tecnica resa disponibile al cliente medesimo in ambito contrattuale. Laddove non sia possibile fornire, anche tenuto conto dello stato dell’arte e dei costi di attuazione, funzionalita’ di prodotto che consentano al cliente di compiere le operazioni di trattamento cui sopra, il produttore di Software si impegna a fornire al cliente l’assistenza ragionevolmente necessaria per l’evasione delle richieste di esercizio dei diritti degli Interessati.
Laddove riceva direttamente richieste da parte di un interessato concernenti il trattamento di dati personali effettuato per conto del cliente tramite i servizi relativi al software gestionale, il produttore di Software, quale responsabile di tale trattamento, puo’ invitare l’interessato a rivolgersi al cliente quale titolare o comunicare tempestivamente a quest’ultimo la istanza ricevuta dall’interessato, entro un termine ragionevole non superiore a dieci giorni lavorativi dalla loro ricezione. ln relazione alle suddette richieste, anche ove ricevute direttamente dal cliente, il produttore si impegna comunque a collaborare con il cliente, per quanto di relativa competenza, nella fornitura delle informazioni in suo possesso che possano risultare utili alla gestione della richiesta dell’interessato.
Trasferimento dei dati in Paesi terzi al di fuori della UE
Ai fini dello svolgimento dei servizi oggetto del presente codice, il produttore del software si impegna di regola a svolgere il trattamento dei dati personali mediante infrastrutture e piattaforme situate in Paesi della UE/SEE. Ove, per lo svolgimento di tali servizi, si renda necessario per la SWH avvalersi, per ragioni organizzative e/o tecniche, anche di infrastrutture collocate in Paesi terzi al di fuori della UE/SEE o comunque di sub-responsabili,le cui attivita’ possano comportare un trasferimento di dati personali al di fuori della UE/SEE, quest’ultima si impegna a:
a) svolgere il trattamento dei dati personali mediante infrastrutture e piattaforme situate in Paesi terzi per i quali:
(i) la Commissione europea abbia comunque riconosciuto l’adeguatezza del livello di protezione dei dati personali garantito da tali Paesi, ai sensi dell’art. 45 del regolamento;
(ii) siano applicabili le garanzie appropriate o le ulteriori condizioni previste dai successivi articoli 46 e ss. del regolamento;
b) avvalersi di sub-responsabili che svolgono il trattamento di dati personali nell’ambito del territorio dei suddetti Paesi, senza effettuare attivita’, servizi od operazioni, anche a livello tecnico, che comportino un trasferimento dei dati personali, trattati per conto del cliente, al di fuori della UE/SEE, se non in accordo con il cliente ed in presenza di misure di salvaguardia adeguate o garanzie supplementari, ove richieste.
Il produttore del software informa preventivamente il cliente riguardo ad eventuali attivita’ e servizi che possano comportare un trasferimento di dati personali in Paesi terzi al di fuori della UE/SEE, fornendo indicazioni specifiche sul Paese di destinazione e sulla sussistenza di adeguate garanzie ai sensi degli articoli 44 – 49 del regolamento, al fine di permettere al cliente quale titolare del trattamento di impartire le necessarie istruzioni mantenendo la ocumentazione atta a dimostrare le misure adottate in proposito.
[1] Per una lettura approfondita del documenti si rinvia alla versione integrale consultabile al seguente Link: https://www.gazzettaufficiale.it/eli/id/2024/11/27/24A06197/SG
[2] v., in particolare, il d.lgs. n. 196/2003 e s.m.i, recante il codice in materia di protezione dei dati personali.
[3] es.: attività di migrazione dati finalizzata all’installazione del Software, attività di assistenza e aggiornamento SW con accesso da remoto, acquisizione o esportazione di copia di dati per verifica di problematiche tecniche, ecc.
