Codice di condotta per il trattamento dei dati personali: imprese di sviluppo e produzione di software

Il “Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale” stabilisce le linee guida per la protezione dei dati personali nell’ambito dello sviluppo, produzione e utilizzo di software gestionali.

In particolare si intende definire attraverso il presente Codice un sistema uniforme ed avanzato di regole di condotta e misure tecniche ed organizzative, per assicurare che i software prodotti e resi disponibili sul mercato siano sviluppati nel rispetto dei principi di protezione dei dati fin dalla progettazione (By design) e per impostazione predefinita (By default), al fine di dimostrare la conformità delle disposizioni del regolamento e di rafforzare la fiducia verso la digitalizzazione dei servizi e processi degli operatori economici ed istituzionali che li utilizzano, assicurando un adeguato livello di tutela dei dati personali trattati tramite l’impegno dei medesimi software.

Il codice di condotta di fatto rappresenta una linea guida sulla implementazione di un software by default e by design e, come tale, dovrebbe essere rispettato indipendentemente dal fatto che si desideri aderire al codice di condotta o meno.

1. Scopo e Ambito di Applicazione

• Il codice è stato promosso da Assosoftware, l’associazione italiana delle aziende che producono software gestionali.
• Si applica ai produttori di software gestionale (SWH – Software House) per garantire la conformità all’art. 40 del Regolamento (UE) 2016/679 (GDPR).
• Riguarda l’intero ciclo di vita del software: progettazione, sviluppo, installazione, assistenza, manutenzione, aggiornamento, escludendo invece il trattamento dati per conto del cliente per finalità amministrative, fiscali o contabili.

2. Principi di Protezione dei Dati (Privacy by Design e by Default)

• Il software deve essere progettato garantendo la minimizzazione dei dati e la protezione della privacy per impostazione predefinita (Privacy by Design e Privacy by Default).
• Il produttore deve documentare:
  • Valutazione dei rischi connessi al software.
  • Misure tecniche e organizzative adottate per la sicurezza.
  • Funzionalità offerte al cliente per garantire la protezione dei dati.

3. Installazione, Manutenzione e Assistenza

• La Software House può accedere ai dati personali dei clienti solo per:
  • Installazione e collaudo.
  • Assistenza e aggiornamenti, con accesso remoto solo se necessario.
  • Verifica di problemi tecnici, acquisendo temporaneamente i dati.

• In modalità cloud, il produttore opera come responsabile o sub-responsabile del trattamento, con obbligo di garantire sicurezza e conformità.
• In modalità on-premise (software installato nei sistemi del cliente), il produttore è responsabile solo per specifiche attività tecniche, senza obblighi su backup o sicurezza dell’infrastruttura del cliente.

4. Ruolo del Produttore come Responsabile del Trattamento

• La Software House (SWH) agisce come Responsabile del Trattamento se opera nell’ambito dell’installazione, assistenza e manutenzione e tratta dati per conto del cliente.
• Deve garantire:
  • Rispetto delle misure di sicurezza stabilite dal codice di condotta.
  • Obblighi di conformità al GDPR (es. accesso ai dati solo se necessario).
  • Registro dei trattamenti per documentare le attività svolte.

5. Accordi tra Software House e Cliente

• È obbligatorio un accordo scritto per il trattamento dei dati personali (ex art. 28 GDPR).
• Se il produttore si avvale di sub-responsabili (es. fornitori di hosting), deve:
  • Notificare il cliente.
  • Garantire che il sub-responsabile rispetti gli stessi obblighi di sicurezza.

6. Sicurezza e Gestione degli Incidenti

• Misure di sicurezza specifiche di cui agli allegati A e B del Codice di condotta:
  • Crittografia dei dati e protezione da accessi non autorizzati.
  • Accesso ai dati basato sul principio del minimo privilegio.
  • Autenticazione forte e gestione sicura delle password.
• Gestione delle violazioni dei dati (Data Breach):
  • Se si verifica un incidente di sicurezza, la Software House deve informare il cliente entro 48 ore.
  • Il cliente deve valutare se notificare all’Autorità Garante e agli interessati.

7. Diritti degli Interessati

• Il produttore deve assistere il cliente nel rispondere alle richieste degli interessati (es. diritto di accesso, rettifica, cancellazione dei dati).
• Se un interessato si rivolge direttamente alla Software House, questa deve:
  • Informare il cliente entro 10 giorni lavorativi.
  • Fornire il supporto necessario per gestire la richiesta.

8. Trasferimento dei Dati all’Estero

• I dati devono essere trattati in Paesi UE/SEE.
• Se vengono trasferiti in Paesi terzi, devono esserci garanzie adeguate, come:
  • Decisioni di adeguatezza della Commissione UE.
  • Clausole contrattuali standard.
  • Misure supplementari per garantire la sicurezza dei dati.

9. Conservazione e Cancellazione dei Dati

• I dati devono essere conservati solo per il tempo necessario all’erogazione dei servizi.
• Alla fine del contratto, la Software House deve:
  • Cancellare i dati o restituirli al cliente.
  • Mantenere i dati disponibili per almeno 30 giorni, per consentire al cliente di esportarli

10. Monitoraggio e Conformità

• È istituito un Organismo di Monitoraggio (OdM) accreditato dal Garante Privacy, che:
  • Controlla il rispetto del codice di condotta.
  • Verifica la conformità delle software house aderenti.
  • Può effettuare audit e ispezioni sui produttori di software

11. Adesione al Codice di Condotta

• Le Software House possono aderire volontariamente al codice attraverso una domanda presentata ad un Organismo di Monitoraggio, con la modalità e modulistiche indicate nell’allegato E del Codice di condotta.
• La domanda viene valutata dall’Organismo di Monitoraggio, il quale ha 30 giorni di tempo per rispondere e verificare se il produttore di software ha tutte le caratteristiche necessarie e che non ci siano condizioni ostative all’accoglimento. Per il primo anno in deroga a quanto detto, L’OdM ha 120 gg di tempo per rispondere, se la risposta è negativa dovrà essere motivata e comunque questo non comporta l’impossibilità ad un successivo rinnovo della domanda di adesione che potrà essere presentata con le dovute integrazioni non prima di 1 anno dopo.
• L’elenco delle aziende aderenti viene pubblicato online sul sito Internet dedicato, gestito dall’Organismo di Monitoraggio (OdM).

   

Conclusione

Il codice di condotta ha l’obiettivo di:

✅ Garantire la conformità al GDPR nel settore del software gestionale.
✅ Migliorare la sicurezza e la protezione dei dati personali trattati dai software.
✅ Offrire maggiore trasparenza ai clienti che utilizzano software gestionali.
✅ Fornire strumenti pratici alle Software House per rispettare la normativa.