NEWS

In vigore il Codice di condotta sullo sviluppo e produzione di software gestionale approvato dal Garante Privacy

Il “Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale“ rappresenta un tassello importante per la conformità normativa e la promozione di standard elevati in un settore chiave per l’innovazione digitale.

Tale Codice, promosso dall’associazione AssoSoftware, previa approvazione del Garante per la protezione dei dati personali è stato pubblicato sulla Gazzetta Ufficiale del 27 novembre 2024 ed è già in vigore.

Elaborato in conformità agli articoli 40 e 41 del Regolamento UE 679/2016 (GDPR), è riferito alle attività di trattamento di dati personali poste in essere dai produttori del software è applicabile esclusivamente al territorio italiano (anche se la software house può avvalersi – nell’ambito degli accordi con il cliente – di infrastrutture e sub-reponsabili in UE e extra-UE).

Si rivolge ai produttori di software gestionale aderenti ad AssoSoftware, con riferimento a tutti i software destinati a professionisti, imprese e Pubbliche Amministrazioni, utilizzati per automatizzare processi interni (gestione contabile, documentale, magazzino, vendite, ecc.); e' applicabile nei confronti di ciascun software gestionale, sia esso on premise (cioè direttamente gestito dal cliente su proprie apparecchiature) che in cloud, per il quale il produttore presenti richiesta di adesione al Codice ai sensi dell’art. 20.

Rilevante è l'obiettivo di fornire un sistema unificato di regole e misure tecniche per garantire la privacy by design e by default in ogni fase del ciclo di vita del software, dalla progettazione fino all’assistenza post-vendita.

Va chiarito che il produttore del software, con riguardo ai prodotti forniti, in ambito privacy sarà responsabile o sub-responsabile del trattamento sicuramente nei contesti relativi alla esecuzione dei servizi in cloud.

In via teorica, nei contesti on premise, laddove l’intervento della software house non implichi il trattamento di dati personali, ad es. nel caso di mera fornitura di una licenza del software e non anche di servizi correlati, alla stessa non sarebbe assegnabile il ruolo di responsabile del trattamento. Viceversa, il produttore dovrà essere nominato responsabile del trattamento laddove chiamato a svolgere attività tecniche connesse alla installazione, assistenza e manutenzione del software gestionale che possano comportare un trattamento (ad es. migrazione) di dati personali.

In ogni caso è da ritenere, anche nella versione on premise basica, permanga comunque una responsabilità anche privacy del produttore laddove lo sviluppo del software non risultasse coerente con il Codice e in particolare con le previsioni dell’allegato A relativo alle “Misure tecniche e organizzative … per garantire i requisiti di Privacy by design e by default nelle attività di sviluppo dei Software Gestionali”.

A regolare le relazioni privacy fra cliente e software house con riguardo agli applicativi forniti, l’allegato 3 al Codice propone uno schema, esemplificativo e non vincolante, dei principali contenuti dell'Accordo da stipulare sul trattamento dei dati personali, elaborato sulla base delle Linee guida dell'European Data Protection Board 7/2020 su titolare e responsabile del trattamento.

Fra le previsioni di tale Allegato, ridondante appare quella secondo cui, in caso di indagini avviate o svolte dalla Autorità giudiziaria o di polizia giudiziaria e tributaria, che comportino la comunicazione di dati personali trattati per conto del cliente, il produttore del software si debba astenere dal dargliene notizia ove obbligato dalla legge o dal provvedimento dell'Autorita' giudiziaria a garantire il segreto degli atti relativi a tali indagini: non serve certo una norma contrattuale per autorizzare tale astensione obbligata.

Restano invece escluse dall’applicabilità del Codice le attività di trattamento di dati personali che la software house venga chiamata a svolgere (chiaramente qui come responsabile del trattamento) dal cliente che vanno oltre la fornitura del software e dei servizi connessi al suo utilizzo: come ad es. servizi di elaborazione di dati a fini contabili, amministrativi, retributivi, previdenziali.

Aspetti prioritari del Codice di condotta sono:

1. Centralità del software gestionale e rilevanza economica: il software gestionale non è solo un fattore tecnologico, ma un motore per la modernizzazione dei processi produttivi e la digitalizzazione delle PMI. Il Codice risponde alla duplice esigenza di promuovere innovazione tecnologica e garantire il massimo livello di protezione dei dati personali, rafforzando la fiducia degli utenti verso le soluzioni offerte.

2. Privacy by Design e By Default. Il Codice stabilisce che ogni software gestionale debba integrare sin dalla progettazione funzionalità che garantiscano la sicurezza e la protezione dei dati personali. Al riguardo rileva, oltre al citato allegato A anche quello B inerente alle “Misure di sicurezza applicate dalle SWH per lo svolgimento dei servizi riguardanti i SW Gestionali impiegati nei contesti on premise e in cloud”

3. Supporto alle PMI e semplificazione degli adempimenti.  Va sottolineata l’importanza di strumenti semplici ed efficaci per agevolare le PMI nella transizione digitale. Il Codice agevola anche le imprese più piccole, con minori expertise IT, possano adottare tecnologie conformi al GDPR senza dover affrontare oneri tecnici o economici eccessivi, bilanciando tutela dei dati e semplificazione.

4. Adesione e conformità. L’adesione al Codice è volontaria ma vincolante per le imprese che decidono di sottoscriverlo. Come descritto nell’articolo 20, i produttori devono presentare richiesta di adesione specificando i prodotti coperti dal Codice, garantendo un livello uniforme di conformità tra le soluzioni software.

5. Ruolo dell’Organismo di Monitoraggio. L'istituzione dell’Organismo di Monitoraggio è un elemento distintivo del Codice. L'Organismo di monitoraggio, accreditato dall'Autorità Garante, composto da professionisti esperti che rappresentano le diverse parti interessate e garantiscono un monitoraggio continuo e indipendente sul rispetto delle disposizioni.

Il Codice di Condotta rappresenta non solo un adeguamento normativo, ma un vero e proprio standard di conformità sostanziale per il settore del software gestionale. Promuove una visione che favorisce lo sviluppo in cui innovazione tecnologica, digitalizzazione e protezione dei dati personali si integrano proficuamente. L’adozione di questo Codice può rafforzare la competitività delle aziende italiane, con particolare riguardo alle PMI che possono essere carenti di evolute skill tecniche, incentivando l’adozione di soluzioni tecnologiche sicure e trasparenti, in grado di rispondere alle sfide della trasformazione digitale.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Piattaforma per la registrazione dei soggetti rientranti negli obblighi della NIS2 disponibile dal 1° dicembre sul sito dell'Agenzia per la Cybersicurezza Nazionale
Next In scadenza il mandato del Garante europeo per la protezione dei dati: i candidati a guidare l'autorità per i prossimi 5 anni

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy