Software gestionali: via libera definitiva del codice di condotta per sviluppatori e produttori

Software gestionali: via libera definitiva del codice di condotta per sviluppatori e produttori

Con la pubblicazione in Gazzetta Ufficiale n. 278 del 17 novembre 2024 è stato definitivamente approvato il codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale, ufficializzato dall’Autorità garante per la protezione dei dati personali (“Garante Privacy”) con la delibera del 17 ottobre 2024.

Il funzionamento del software gestionale e i dati personali 

Come noto, ai sensi del combinato disposto degli artt. 40 e 57 del Regolamento (UE) 2016/679 (“GDPR”) è compito dell Garante Privacy incoraggiare l’elaborazione di codici di condotta al fine di garantire una corretta osservanza delle disposizioni in materia di protezione dei dati personali, tenendo in considerazione le esigenze specifiche di determinati settori e delle PMI. In particolare, ad aver provveduto alla promozione del codice di condotta per il trattamento dei dati personali nell’ambito della produzione di sviluppo e produzione di software gestionale è stata Assosoftware, associazione italiana che riunisce, rappresenta e tutela le principali aziende produttrici di software gestionale per le piccole e medie imprese, professionisti e pubbliche amministrazioni.

L’attenzione verso il settore in questione e – soprattutto – la necessità di creare un codice di condotta per il trattamento dei dati personali ad hoc – che rappresenta, indubbiamente, un passo importante per allineare gli standard di conformità normativa all’innovazione digitale – deriva dal fatto che l’utilizzo dei software gestionali comporta il trattamento di numerosi dati personali. Ciò è evidente se si pensa allo scopo del software gestionale, ideato per facilitare l’automazione di principali processi interni di diversi settori, quali imprese (nel caso di approvvigionamento, gestione del magazzino, vendite, fatturazione, rapporti con i clienti e gestione documentale), professionisti (attraverso strumenti per la gestione dello studio professionale e operazioni legate a contabilità, tributi, diritto del lavoro, legale e fiscale) e pubbliche amministrazioni (per processi di e-procurement, gestioni di gare e commesse).

Il processo di automazione non può tuttavia abbassare la soglia di protezione di dati personali: perciò, al fine di supportare ed anche incentivare la digitalizzazione degli operatori di piccole dimensioni – PMI e professionisti – che non sempre hanno le competenze necessarie per procedere a quanto compiuto dal software gestionale, il Codice di condotta è rivolto ai produttori e sviluppatori di tali software al fine di garantire standard di protezione dei dati durante l’intero ciclo di vita, dalla sua progettazione e sviluppo fino alla sua installazione e messa in servizio..

Le novità introdotte dal Codice di condotta

Il Codice di condotta per il trattamento dei dati personali applicato al settore del software gestionale introduce importanti novità che mirano, come fin qui anticipato, a rafforzare la tutela dei dati personali e a promuovere una gestione responsabile e innovativa da parte delle software house (SWH). Tra di esse si identifica l’integrazione del privacy by design e by default: questi sono i principi al cui rispetto sono tenute le SWH nell’adempimento all’obbligo di incorporazione delle misure tecniche e organizzative nella fase di progettazione del software. Pertanto, l’allegato B del Codice di condotta elenca le misure di sicurezza da applicare nei software gestionali, sia in ambienti on premise sia cloud, tra le quali: sistemi avanzati di crittografia, controlli di accesso, audit trial e sistemi di protezione contro le vulnerabilità software.

Si consideri, infine, che il Codice chiarisce il ruolo delle SWH come responsabili o sub responsabili del trattamento, in particolare per installazione, manutenzione e assistenza tecnica. È stato introdotto un modello contrattuale standard (allegato C del Codice) in conformità all’art. 28 del GDPR, che disciplina le responsabilità reciproche tra SWH e clienti per il trattamento dei dati personali e l’utilizzo degli applicativi software. Sarà comunque l’OdM a controllare la corretta applicazione del codice di condotta, effettuando audit periodici e segnalando eventuali non conformità al Garante per la protezione dei dati personali.

Avv. Lorenzo Baudino Bessone e Dott.ssa Silvia Mazzarella

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori