Codice di condotta tecnologica: come devono gestire il trattamento dei dati personali le software house

Che cos’è il codice di condotta tecnologica? In data 7 ottobre 2024, l’Autorità Garante per la protezione dei dati personali ha approvato il codice di condotta adottato da Assosoftware e destinato alle software house italiane che producono gestionali.

Questo Codice è una iniziativa importante nell’ambito della protezione dei dati personali, in linea con le disposizioni del Regolamento (UE) 2016/679 (GDPR).

L’articolo 40 del GDPR stabilisce che “Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli”. Tali Codici sono strumenti che favoriscono la trasparenza, la responsabilità e la protezione dei dati.

Il Codice di condotta approvato dall’Autorità Garante per il trattamento dei dati personali elaborato da Assosoftware si inserisce in questo quadro.

L’adozione di questo Codice è accompagnata da un sistema di controllo e monitoraggio, attuato attraverso un organismo di controllo accreditato, avente il compito di verificare l’effettiva applicazione delle sue regole da parte delle imprese e di assicurare che siano rispettate le disposizioni in materia di protezione dei dati.

Questo organismo assume quindi un ruolo fondamentale per garantire che chi aderisce al Codice di condotta tecnologica operi in conformità con il GDPR. In tal modo i titolari del trattamento possono fare affidamento su standard elevati di sicurezza e trasparenza.

Può avere inoltre rilevanti implicazioni anche per i Titolari del Trattamento.

Questo perché, se l’adesione è volontaria, il rispetto delle sue regole, una volta aderito, è obbligatorio.

Detto ciò, poiché la responsabilità per il trattamento dei dati ricade sui Titolari del trattamento (che quindi devono assicurarsi che tutte le attività di trattamento siano conformi al GDPR) viene naturale preferire, quantomeno in una prima valutazione, che porre l’attenzione sui fornitori che abbiano aderito al codice di condotta.

Questo strumento offre quindi, ai titolari del trattamento, un mezzo utile per fare una scelta consapevole e sicura quando selezionano un fornitore di software gestionale.

A chi si applica e come aderire al codice di condotta tecnologica?

Come anticipato prima, l’adesione al codice è volontaria ma una volta effettuata le sue prescrizioni diventano obbligatorie.

L’applicazione riguarda le imprese che progettano, sviluppano e producono Software Gestionali, in pratica le software house italiane. Riguarda però anche imprese che si occupano di servizi relativi alle attività di installazione, messa in esercizio, assistenza, manutenzione, gestione, aggiornamento del software gestionale prodotto.

Cosa comporta l’adesione?

I soggetti che aderiscono a questo codice di condotta sono tenuti a garantire il rispetto dei principi di privacy by design e by default.

Per chi sviluppa il software ciò significa, tra le altre cose:

• svolgere la valutazione dei rischi di trattamento dei dati personali;

• la previsione di misure tecniche, organizzative e le funzionalità che consentano al cliente, quale titolare o responsabile del trattamento, di garantire un livello di protezione adeguato ai dati personali trattati all’interno del software gestionale;
• la comunicazione in modo trasparente al cliente delle caratteristiche di sicurezza e di privacy by design del software gestionale, in modo che possa valutare sotto la propria responsabilità la conformità alle normative e alle proprie esigenze.

Per chi si occupa invece della sola attività di manutenzione, installazione e assistenza del software gestionale, viene definito il ruolo di Responsabile del trattamento dei dati personali (o di sub responsabile a seconda dei casi). Particolare rilevanza, da questo punto di vista, assume la circostanza che le attività vengano svolte on-premise o in cloud.

Il Codice presenta anche due allegati, A e B, con le misure di sicurezza da adottare caso per caso.

Il ruolo svolto nell’ambiente GDPR

Il Codice di condotta tecnologica fornisce alcune indicazioni circa il ruolo rivestito dal soggetto in specifiche situazioni:

• quando è Titolare del trattamento dei dati
• quando è Responsabile del trattamento dei dati
• quando è sub-responsabile.

Contiene inoltre indicazioni sul contenuto degli accordi di trattamento dei dati e sulla gestione dei rapporti con i sub-responsabili.

È un utile strumento anche perché fornisce delle indicazioni più o meno specifiche riguardo determinate situazioni e circostanze che prima erano lasciate all’interpretazione del momento.

Ad esempio viene specificato che “qualora il software gestionale sia utilizzato in modalità on premise, resta esclusa dalla responsabilità del produttore del software l’adozione delle misure idonee a proteggere le infrastrutture, i sistemi e i dispositivi utilizzati dal cliente per accedere al Software (tra cui, ad esempio, le attività di salvataggio e backup dei dati personali e protezione dell’infrastruttura da malware)”.

Ulteriore aspetto particolarmente interessante riguarda il trasferimento dei dati in Paesi terzi al di fuori della UE: l’art. 15 del Codice sembra operare una scelta chiara laddove prevede che “il produttore del software si impegna di regolare a svolgere il trattamento dei dati personali mediante infrastrutture e piattaforme situate in paesi della UE/SEE”.

Questo passaggio è importante poiché stabilisce la regola che, in prima battuta, vanno privilegiate le soluzioni europee, con grande beneficio dal punto di vista della gestione della conformità normativa e delle politiche, e solo in caso di necessità organizzative e/o tecniche possibile rivolgersi a infrastrutture collocate in paesi extra-europei.

Anche in quest’ultima ipotesi, comunque, vi sono delle prescrizioni che impegnano i fornitori.

Chi può promuovere l’adozione di un codice di condotta?

I soggetti che non sono membri di Assosoftware possono inviare domanda di adesione all’organismo di monitoraggio con la modulistica e le modalità previste nell’allegato E del codice. L’organismo procederà alla verifica circa la completezza della domanda, la sussistenza dei requisiti di conformità e la dichiarazione relativa al rispetto degli impegni previsti dal codice di condotta, e l’assenza di condizioni ostative.

Entro 30 giorni dalla domanda viene comunicato al richiedente l’eventuale accettazione della stessa.

Poteri di controllo

Il Codice non sostituisce ma integra il GDPR. Restano, infatti, impregiudicati tutti i poteri dell’Autorità Garante per la protezione dei dati personali e si aggiunge il potere dell’Organismo di Monitoraggio nel controllo del rispetto delle prescrizioni specifiche e proprie del Codice di Condotta.

Per concludere

L’aspetto interessante di questo Codice di condotta non è tanto nel contenuto, (non introduce nulla di stravagante o di particolarmente futuristico nelle procedure organizzative e nelle misure di sicurezza), quanto nell’approvazione da parte dell’Autorità Garante per la protezione dei dati personali.

Il contenuto del Codice, infatti, avendo avuto il “placet” dell’Autorità, costituisce una guida molto forte nell’individuare la strada da percorrere.