𝐂𝐨𝐝𝐢𝐜𝐞 𝐝𝐢 𝐂𝐨𝐧𝐝𝐨𝐭𝐭𝐚 𝐩𝐞𝐫 𝐥𝐨 𝐬𝐯𝐢𝐥𝐮𝐩𝐩𝐨 𝐞 𝐥𝐚 𝐩𝐫𝐨𝐝𝐮𝐳𝐢𝐨𝐧𝐞 𝐝𝐢 𝐬𝐨𝐟𝐭𝐰𝐚𝐫𝐞 𝐠𝐞𝐬𝐭𝐢𝐨𝐧𝐚𝐥𝐢

Codice di Condotta per il Trattamento dei Dati Personali Effettuato dalle Imprese di Sviluppo e Produzione di Software Gestionale

Il Contesto e le Motivazioni del Codice di Condotta per il Software Gestionale

L’introduzione del Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale evidenzia l’importanza di questo settore per la digitalizzazione e la necessità di tutelare i dati personali trattati tramite tali software.

Il software gestionale svolge un ruolo chiave nella crescita delle competenze digitali e nella modernizzazione dei processi produttivi. 

Questo contribuisce alla competitività internazionale e allo sviluppo del sistema Paese, con un impatto diretto sull’economia, sull’occupazione e sulla digitalizzazione di imprese, professionisti e pubbliche amministrazioni

L’introduzione del codice nasce dall’esigenza di garantire elevati livelli di protezione dei dati personali durante l’intero ciclo di vita del software gestionale, dalla progettazione alla produzione, sviluppo, installazione e messa in esercizio

Il software gestionale automatizza processi aziendali cruciali, come l’approvvigionamento, la gestione del magazzino, le vendite, la fatturazione, i rapporti con i clienti e la gestione documentale. 

La sua applicazione impatta significativamente sulla protezione dei dati personali, rendendo fondamentale l’adozione di misure di sicurezza adeguate

Il codice mira a fornire strumenti di digitalizzazione adeguati, in particolare per le piccole e medie imprese che potrebbero non disporre delle risorse o delle competenze tecniche e informatiche necessarie. L’obiettivo è conciliare le esigenze di semplificazione degli adempimenti delle PMI con la necessità di garantire un’elevata tutela dei diritti degli interessati

L’adozione del codice di condotta e l’adesione da parte delle Software House promuovono la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla normativa nazionale in materia di protezione dei dati, garantendo l’adeguatezza delle misure tecniche e organizzative offerte dai produttori durante l’intero ciclo di vita dei software sviluppati.

Obiettivi del Codice di Condotta per il Software Gestionale

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale si pone diversi obiettivi cruciali, che mirano a promuovere la conformità al GDPR, garantire l’adeguatezza delle misure tecniche e organizzative e rafforzare la fiducia degli utenti nell’adozione di soluzioni gestionali.

Promozione della conformità al GDPR: Il codice si propone di aiutare i produttori di software gestionale ad allineare le proprie attività ai principi e ai requisiti del GDPR.

Questo obiettivo è perseguito attraverso l’adozione di misure specifiche, come la progettazione e lo sviluppo di software che incorporano la protezione dei dati fin dall’inizio (Privacy by design e by default) e l’implementazione di misure di sicurezza appropriate per la gestione e la protezione dei dati personali.

Adeguatezza delle misure tecniche e organizzative: Il codice stabilisce che i produttori di software gestionale devono adottare misure tecniche e organizzative adeguate per garantire la sicurezza e la protezione dei dati personali trattati tramite i loro software.

 Queste misure includono, tra le altre, l’implementazione di controlli di accesso, la crittografia dei dati, la gestione degli incidenti di sicurezza e la formazione del personale autorizzato al trattamento dei dati.

Rafforzamento della fiducia degli utenti: Un obiettivo fondamentale del codice è quello di aumentare la fiducia degli utenti nell’adozione di soluzioni gestionali, dimostrando che i software sviluppati sono conformi ai requisiti di protezione dei dati e che i produttori si impegnano a tutelare la privacy degli interessati.

Questo obiettivo è perseguito attraverso la trasparenza e la comunicazione, fornendo agli utenti informazioni chiare e concise sulle modalità di trattamento dei dati personali e sulle misure di sicurezza adottate.

L’Ambito di Applicazione del Codice di Condotta per il Software Gestionale

Il Codice di Condotta definisce chiaramente il suo campo di applicazione, specificando che si rivolge esclusivamente alle attività di trattamento dei dati personali svolte dai produttori di software gestionale in Italia.

Territorialità: Il codice si applica specificamente alle attività svolte sul territorio italiano e sottostà alla giurisdizione del Garante italiano per la protezione dei dati personali. 

Questo significa che le aziende di software gestionale operanti in Italia sono tenute a conformarsi alle disposizioni del codice, a prescindere dalla loro nazionalità o dalla sede principale.

Attività Principali: Il codice si concentra sulle attività di trattamento dei dati personali direttamente connesse alla progettazione, sviluppo, produzione, installazione, assistenza e manutenzione del software gestionale. Questo include attività come la migrazione dei dati, l’assistenza remota e l’acquisizione di dati per la risoluzione di problemi tecnici.

Esclusione di Attività Secondarie: Il codice non si applica alle attività secondarie o non direttamente correlate alla produzione del software gestionale.  Ad esempio, il trattamento dei dati personali dei dipendenti nell’ambito del rapporto di lavoro, il marketing diretto ai clienti o la gestione di dati per attività contabili, amministrative, retributive o fiscali esulano dal campo di applicazione del codice.

Il Codice di Condotta e la sua Applicazione Nazionale

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale si applica esclusivamente ai trattamenti di dati personali effettuati dai produttori di software gestionale operanti sul territorio italiano.

Questo significa che le sue disposizioni sono vincolanti solo per le aziende che sviluppano, producono, installano o forniscono assistenza per software gestionale in Italia.

Il Codice ha validità nazionale, il che significa che è stato approvato dal Garante per la protezione dei dati personali italiano e si applica solo in Italia.

 Non si estende ad altri paesi, anche se il produttore di software opera a livello internazionale.

La limitazione territoriale del Codice di Condotta è esplicitamente dichiarata nell’Articolo 1, che ne definisce l’ambito di applicazione.

 L’articolo specifica che il codice:

si riferisce alle attività di trattamento dei dati personali poste in essere dai produttori del software nei contesti delineati nel preambolo, limitatamente al territorio dello Stato Italiano.

è applicabile unicamente a livello nazionale.

Applicazione del Codice a ciascun Software Gestionale

Il Codice di Condotta non si applica automaticamente a tutti i software gestionali prodotti da un’azienda. Per essere soggetto alle disposizioni del codice, il produttore deve presentare una specifica richiesta di adesione per ciascun software gestionale che desidera includere.

L’Articolo 1 del Codice chiarisce questo punto:

• “Il presente codice di condotta e’ applicabile nei confronti di ciascun software gestionale, per il quale il produttore presenti richiesta di adesione ai sensi del successivo art. 20.”

Questo significa che un produttore di software gestionale può scegliere di aderire al codice per alcuni dei suoi prodotti, ma non per altri. 

La decisione di aderire al codice per un determinato software gestionale è quindi lasciata alla discrezione del produttore.

• I produttori, anche se non associati ad Assosoftware, possono presentare domanda di adesione per uno o più software gestionali.

• La domanda deve essere inviata all’Organismo di Monitoraggio (OdM) con le modalità e la documentazione specificate nell’Allegato E del codice.

• L’OdM verificherà la conformità del software gestionale ai requisiti del codice, basandosi sulla documentazione presentata e su un questionario di autovalutazione compilato dal produttore.

• Se la verifica ha esito positivo, l’OdM confermerà l’adesione del software gestionale al codice.

Il Codice di Condotta e le Attività Secondarie

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale si concentra specificamente sulle attività principali relative alla produzione del software, escludendo l’applicazione del codice ai trattamenti di dati personali relativi ad attività secondarie o non riguardanti la produzione del software gestionale.

• L’Articolo 1 del codice specifica chiaramente questa esclusione, affermando che il codice non è applicabile ai trattamenti di dati personali connessi allo svolgimento di attività secondarie o non riguardanti la produzione del software gestionale.

• Il Preambolo del Codice chiarisce ulteriormente questo concetto, affermando che il codice non si applica ai servizi di elaborazione dati a fini contabili, amministrativi, retributivi, previdenziali, assistenziali e fiscali, come l’elaborazione paghe, la tenuta della contabilità e la fatturazione.

Esempi di attività secondarie escluse dall’ambito di applicazione del codice includono:

Trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

Marketing diretto ai clienti, anche potenziali.

Gestione di dati per attività contabili, amministrative, retributive o fiscali.

Questa esclusione si basa sul principio che le attività secondarie sono comuni a molti settori produttivi e sono già disciplinate da altre normative specifiche. 

Il Codice di Condotta mira a fornire un quadro di riferimento mirato per la protezione dei dati personali nell’ambito delle attività principali legate al software gestionale, senza sovrapporsi o interferire con altre normative.

Definizioni dell’art. 4 del GDPR e Ulteriori Definizioni Specifiche

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale fa riferimento a queste definizioni e ne introduce alcune specifiche per il settore del software gestionale.

Importanza delle Definizioni

Le definizioni previste dall’articolo 4 del GDPR e le definizioni specifiche del Codice di Condotta sono fondamentali per:

• Chiarire l’ambito di applicazione del GDPR e del Codice di Condotta: definendo con precisione i termini chiave, si evita ambiguità e si garantisce che tutte le parti coinvolte abbiano la stessa comprensione dei concetti.

• Stabilire gli obblighi e le responsabilità: Le definizioni aiutano a identificare chi è soggetto al GDPR e al Codice di Condotta e quali sono le loro responsabilità in materia di protezione dei dati personali.

• Facilitare l’applicazione e l’interpretazione delle norme: Definizioni chiare e precise sono essenziali per garantire un’applicazione uniforme del GDPR e del Codice di Condotta da parte di tutti gli attori coinvolti.

Definizioni Chiave nel Codice di Condotta per il Software Gestionale

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale fornisce definizioni specifiche per alcuni termini chiave, al fine di chiarire il loro significato nell’ambito del codice stesso. 

Queste definizioni, elencate nell’Articolo 2, sono fondamentali per una corretta interpretazione e applicazione del Codice.

Termini Chiave e Relative Definizioni

• Produttori del software (anche produttore, Software House o SWH): si riferisce alle imprese che si occupano della progettazione, dello sviluppo e della produzione di software gestionale. Questa definizione comprende tutte le aziende che creano e distribuiscono software utilizzati per la gestione di diverse attività aziendali, come la contabilità, la gestione del magazzino, le vendite e la fatturazione.

• Software gestionale: definisce il tipo di software oggetto del Codice di Condotta. Si tratta di programmi informatici che permettono alle aziende, ai professionisti e alle pubbliche amministrazioni di automatizzare i processi di organizzazione e gestione delle proprie attività. In pratica, si tratta di software che aiuta a gestire diverse aree di un’organizzazione, migliorando l’efficienza e la produttività.

• Servizi: questa definizione si riferisce a tutte le attività connesse all’installazione, alla messa in funzione, all’assistenza, alla manutenzione, alla gestione e all’aggiornamento del software gestionale prodotto dalla SWH. In pratica, si tratta di tutti i servizi che la Software House fornisce ai clienti per garantire il corretto funzionamento del software.

• Attività di Sviluppo: si tratta delle attività di progettazione, sviluppo e produzione del software gestionale. Queste attività, di norma, non comportano il trattamento di dati personali, in quanto si concentrano sulla creazione del software stesso e non sull’utilizzo del software con dati reali.

• Clienti: definisce i soggetti che commissionano ai produttori del software lo sviluppo e l’installazione del software gestionale. I clienti, in questo contesto, sono le aziende, i professionisti o le pubbliche amministrazioni che utilizzano il software per la gestione delle proprie attività. I clienti sottoscrivono contratti o accordi di licenza per l’utilizzo del software.

• Utenti: Si riferisce alle persone fisiche che sono autorizzate ad accedere e utilizzare il software gestionale e i relativi servizi. Gli utenti possono essere dipendenti, collaboratori o rappresentanti del cliente, oppure personale autorizzato dalla Software House per svolgere i servizi.

• Accordo sul trattamento dei dati personali: Definisce l’accordo scritto, stipulato tra il produttore del software e il cliente, che regola il trattamento dei dati personali durante l’erogazione dei servizi. Questo accordo è fondamentale per definire le responsabilità di ciascuna parte in materia di protezione dei dati personali e deve essere conforme all’articolo 28 del GDPR.

Approfondimento sull’Accordo sul Trattamento dei Dati Personali

Questo accordo è obbligatorio quando il produttore del software agisce come responsabile del trattamento dei dati per conto del cliente.

Importanza dell’Accordo

L’Accordo sul trattamento dei dati personali riveste un’importanza fondamentale per diverse ragioni:

• Definizione delle Responsabilità: L’accordo stabilisce in modo chiaro e preciso le responsabilità del produttore del software e del cliente in merito alla protezione dei dati personali. Questo aspetto è cruciale per garantire la conformità al GDPR e per prevenire eventuali controversie.

• Trasparenza e Accountability: L’accordo scritto promuove la trasparenza tra le parti, definendo le modalità di trattamento dei dati e le misure di sicurezza adottate. Questo contribuisce a rafforzare l’accountability (responsabilizzazione) di entrambe le parti coinvolte.

• Tutela dei Diritti degli Interessati: L’accordo deve garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti degli interessati, come previsto dal GDPR. Questo include il diritto di accesso, rettifica, cancellazione e opposizione al trattamento dei dati.

• Conformità all’Articolo 28 del GDPR: L’articolo 28 del GDPR stabilisce i requisiti specifici per gli accordi tra titolari e responsabili del trattamento. L’Accordo sul trattamento dei dati personali deve essere conforme a tali requisiti per garantire la validità legale del trattamento.

• Garante: Si riferisce al Garante per la protezione dei dati personali, l’autorità italiana responsabile della tutela dei dati personali. Il Codice di Condotta richiama le disposizioni del D.Lgs. n. 196/2003 (Codice Privacy) e successive modifiche, che definiscono le competenze del Garante.

Contenuti dell’Accordo

L’Allegato C del Codice di Condotta fornisce uno schema esemplificativo (non vincolante) dei principali contenuti dell’Accordo sul trattamento dei dati personali. Sebbene non si disponga del testo completo dell’Allegato C, il Codice di Condotta e le Linee Guida dell’EDPB suggeriscono che l’accordo dovrebbe includere elementi come:

• Oggetto e durata del trattamento: specificare in modo chiaro i tipi di dati personali trattati, le finalità del trattamento e la durata del trattamento.

• Natura e finalità del trattamento: descrivere in dettaglio le attività di trattamento svolte dal produttore del software per conto del cliente.

• Obblighi del responsabile del trattamento (SWH): elencare in modo esaustivo gli obblighi del produttore del software in materia di sicurezza dei dati, riservatezza, assistenza al cliente e cooperazione con il Garante.

• Diritti del titolare del trattamento (Cliente): specificare i diritti del cliente in merito al controllo e alla supervisione delle attività di trattamento svolte dal produttore del software.

• Sub-responsabili del trattamento: definire le modalità di nomina e di gestione dei sub-responsabili del trattamento, inclusi i requisiti di conformità al GDPR.

• Misure di sicurezza: dettagliare le misure di sicurezza tecniche e organizzative adottate dal produttore del software per proteggere i dati personali.

• Gestione degli incidenti di sicurezza: stabilire le procedure per la gestione degli incidenti di sicurezza e la notifica al cliente in caso di violazione dei dati personali (data breach).
• Restituzione o cancellazione dei dati: definire le modalità di restituzione o cancellazione dei dati personali al termine del servizio.

Importanza delle Definizioni per l’Applicazione del Codice

Le definizioni specifiche fornite nell’Articolo 2 sono cruciali per la corretta applicazione del Codice di Condotta.

• Esse delimitano l’ambito di applicazione del codice, definendo con precisione i soggetti coinvolti e le attività a cui si applica.
• Inoltre, le definizioni chiariscono i termini chiave utilizzati nel codice, eliminando possibili ambiguità e facilitando l’interpretazione delle sue disposizioni.
• La conoscenza di queste definizioni è quindi fondamentale per i produttori del software, i clienti e gli utenti, al fine di garantire una corretta gestione dei dati personali nell’ambito dell’utilizzo del software gestionale.

La Progettazione e lo Sviluppo del Software Gestionale secondo il Principio di Privacy by Design e by Default

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale, approvato dal Garante italiano per la protezione dei dati personali il 17 ottobre 2024, stabilisce che la progettazione e lo sviluppo del software gestionale devono rispettare i principi di privacy by design e by default del GDPR.

L’Articolo 3 del Codice di Condotta si concentra specificamente su questo aspetto, sottolineando l’importanza di integrare la protezione dei dati personali fin dalle prime fasi di progettazione e sviluppo del software. 

Questo approccio proattivo alla privacy mira a garantire che la tutela dei dati personali sia intrinsecamente incorporata nel software, anziché essere un’aggiunta successiva.

Misure Specifiche per la Privacy by Design e by Default

Il Codice di Condotta, nell’Allegato A, elenca le misure tecniche e organizzative che i produttori di software devono implementare per garantire il rispetto dei principi di privacy by design e by default.  l’Articolo 3 fornisce alcune indicazioni sulle misure previste:

• Valutazione dei Rischi: I produttori devono valutare i rischi per i diritti e le libertà degli interessati derivanti dal trattamento dei dati personali effettuato tramite il software gestionale.

• Funzionalità di Protezione dei Dati: Il software deve essere progettato con funzionalità specifiche che facilitino la protezione dei dati personali, come la minimizzazione dei dati, la pseudonimizzazione e la crittografia.

• Trasparenza per il Cliente: I produttori devono comunicare in modo chiaro e trasparente al cliente le caratteristiche di sicurezza e privacy del software, consentendogli di valutare l’adeguatezza del software rispetto alle proprie esigenze di protezione dei dati.

Vantaggi dell’Approccio Privacy by Design e by Default

L’adozione di un approccio di privacy by design e by default offre diversi vantaggi:

• Maggiore Tutela dei Dati Personali: Integrando la protezione dei dati nella progettazione del software, si riduce il rischio di violazioni e si garantisce un livello di sicurezza più elevato.

• Conformità al GDPR Semplificata: La progettazione del software in linea con i principi del GDPR facilita il rispetto della normativa e riduce gli oneri di conformità per il cliente.

• Maggiore Fiducia degli Utenti: I clienti e gli utenti finali saranno più propensi ad utilizzare software che garantisca la protezione dei loro dati personali, rafforzando la fiducia nel produttore del software.

Ruolo del Cliente

Anche se il produttore del software è responsabile di implementare la privacy by design e by default, il cliente ha un ruolo attivo nella scelta e nell’utilizzo del software gestionale:

• Valutazione delle Caratteristiche di Privacy: il cliente deve valutare attentamente le caratteristiche di privacy del software offerto dal produttore, assicurandosi che siano adeguate alle proprie esigenze e al tipo di dati trattati.

• Misure di Sicurezza Aggiuntive: il cliente può richiedere al produttore l’implementazione di misure di sicurezza aggiuntive, se ritenute necessarie per garantire un livello di protezione adeguato.

• Conformità al GDPR: il cliente rimane responsabile della conformità al GDPR per tutti gli aspetti del trattamento dei dati personali effettuato tramite il software gestionale, anche se si affida ad un software conforme ai principi di privacy by design e by default.

In conclusione, il Codice di Condotta per il software gestionale pone un forte accento sulla privacy by design e by default come principi fondamentali per la progettazione e lo sviluppo di software che trattano dati personali. 

Questo approccio, in combinazione con la collaborazione tra produttori di software e clienti, contribuisce a creare un ecosistema digitale più sicuro e rispettoso della privacy degli individui.

Documentazione dell’Applicazione dei Principi di Privacy by Design e by Default

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale richiede esplicitamente ai produttori di documentare l’applicazione dei principi di privacy by design e by default.

 Questo obbligo di documentazione è fondamentale per dimostrare la conformità al GDPR e per garantire la trasparenza nei confronti dei clienti.

L’Articolo 3 del Codice di Condotta stabilisce che i produttori di software devono documentare l’applicazione dei principi di privacy by design e by default attraverso tre elementi chiave:

Valutazione dei Rischi

I produttori devono condurre una valutazione dei rischi per identificare e analizzare i potenziali rischi per i diritti e le libertà degli interessati derivanti dal trattamento dei dati personali effettuato tramite il software gestionale. 

Questa valutazione deve essere documentata e deve includere:

• Descrizione dei trattamenti di dati: individuare tutti i tipi di dati personali trattati dal software, le finalità del trattamento e le categorie di interessati coinvolti.

• Analisi delle minacce e delle vulnerabilità: identificare le potenziali minacce alla sicurezza dei dati personali (es. accesso non autorizzato, perdita di dati, attacchi informatici) e le vulnerabilità del software che potrebbero essere sfruttate per compromettere la protezione dei dati.

• Valutazione del rischio: valutare la probabilità che si verifichi una minaccia e il potenziale impatto sui diritti e le libertà degli interessati in caso di violazione dei dati personali.

• Misure di mitigazione del rischio: definire e implementare misure di sicurezza tecniche e organizzative appropriate per mitigare i rischi identificati.

Misure di Sicurezza

Il Codice di Condotta richiede ai produttori di software di prevedere e implementare misure di sicurezza adeguate per proteggere i dati personali trattati tramite il software gestionale. 

L’Allegato B del Codice di Condotta elenca le misure di sicurezza specifiche che devono essere adottate.

L’Articolo 11 del Codice di Condotta sottolinea l’importanza della trasparenza in merito alle misure di sicurezza:

Articolo 11.3: Il produttore del software si impegna a mettere a disposizione in modo trasparente una descrizione delle misure di sicurezza applicate allo scopo di consentire al cliente di valutare la rispondenza del software gestionale acquistato rispetto alle proprie esigenze e requisiti di sicurezza.

La documentazione delle misure di sicurezza deve includere:

• Descrizione delle misure tecniche: dettagliare le misure di sicurezza tecniche implementate, come la crittografia dei dati, il controllo degli accessi, l’autenticazione a più fattori e la protezione contro i malware.

• Descrizione delle misure organizzative: descrivere le misure organizzative adottate, come le politiche di sicurezza, le procedure per la gestione degli incidenti di sicurezza e la formazione del personale.

• Documentazione tecnica: fornire la documentazione tecnica relativa alle funzionalità di sicurezza del software, comprese le specifiche tecniche, i manuali utente e le guide di configurazione.

Comunicazione Trasparente al Cliente

I produttori di software hanno l’obbligo di comunicare in modo trasparente al cliente le caratteristiche di privacy del software. 

Questa comunicazione deve essere chiara, concisa e facilmente comprensibile, e deve consentire al cliente di valutare l’adeguatezza del software rispetto alle proprie esigenze di protezione dei dati.

La comunicazione al cliente deve includere:

• Descrizione delle funzionalità di privacy: illustrare le funzionalità del software che facilitano la protezione dei dati personali, come la minimizzazione dei dati, la pseudonimizzazione, la crittografia e il controllo degli accessi.

• Informazioni sulla valutazione dei rischi: condividere con il cliente i risultati della valutazione dei rischi, evidenziando i potenziali rischi e le misure di mitigazione implementate.

• Documentazione delle misure di sicurezza: mettere a disposizione del cliente la documentazione relativa alle misure di sicurezza adottate, come descritto nel punto precedente.

• Assistenza nella valutazione della conformità: fornire al cliente l’assistenza necessaria per valutare la conformità del software alle proprie politiche di protezione dei dati e alle normative vigenti.

In conclusione, il Codice di Condotta per il software gestionale pone grande enfasi sulla documentazione come strumento per dimostrare l’applicazione dei principi di privacy by design e by default. 

La valutazione dei rischi, la descrizione delle misure di sicurezza e la comunicazione trasparente al cliente sono elementi essenziali per garantire la conformità al GDPR, la protezione dei dati personali e la fiducia tra produttori di software e clienti.

Il Ruolo del Produttore di Software come Responsabile del Trattamento Dati

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale definisce chiaramente il ruolo del produttore di software come responsabile del trattamento dei dati personali durante le attività di installazione, assistenza e manutenzione del software. 

Questo ruolo si applica specificamente quando le attività del produttore comportano un trattamento di dati personali per conto del cliente, che assume il ruolo di titolare del trattamento.

Ambito di Applicazione

L’Articolo 4 del Codice di Condotta specifica le circostanze in cui il produttore di software agisce come responsabile del trattamento:

• Contesti “On Premise” e “Cloud”: Il produttore assume il ruolo di responsabile del trattamento durante l’esecuzione dei servizi sia in contesti “on premise” (software installato su infrastrutture del cliente) che “cloud” (software erogato tramite infrastrutture del produttore).

• Attività Tecniche Specifiche: Nei contesti “on premise”, il produttore riveste il ruolo di responsabile solo quando svolge attività tecniche che comportano un trattamento di dati personali, come la migrazione dei dati durante l’installazione, l’assistenza remota con accesso ai dati del cliente o l’acquisizione di copie di dati per la risoluzione di problemi tecnici.

Obblighi del Responsabile del Trattamento

L’Articolo 5 del Codice di Condotta elenca gli obblighi del produttore di software in qualità di responsabile del trattamento:

• Garanzie Adeguate: Il produttore deve fornire garanzie adeguate in merito alla protezione dei dati personali, come previsto dall’Articolo 28 del GDPR. Queste garanzie possono essere dimostrate attraverso l’adesione a codici di condotta, certificazioni o best practice di settore.

• Accordo sul Trattamento dei Dati: Il produttore deve stipulare con il cliente un accordo scritto sul trattamento dei dati personali, come previsto dall’Articolo 28 del GDPR. L’Allegato C del Codice di Condotta fornisce uno schema esemplificativo di tale accordo.

• Sub-Responsabili del Trattamento: Il produttore può avvalersi di sub-responsabili del trattamento solo con l’autorizzazione del cliente. L’Articolo 7 del Codice di Condotta definisce le procedure per la nomina e la gestione dei sub-responsabili.

• Misure di Sicurezza: Il produttore deve implementare le misure di sicurezza previste dall’Allegato B del Codice di Condotta per proteggere i dati personali trattati durante l’erogazione dei servizi.

• Gestione degli Incidenti di Sicurezza: Il produttore deve adottare una procedura documentata per la gestione degli incidenti di sicurezza, come previsto dall’Articolo 12 del Codice di Condotta.

• Assistenza al Cliente nell’Esercizio dei Diritti degli Interessati: Il produttore deve collaborare con il cliente per facilitare l’esercizio dei diritti degli interessati, come previsto dall’Articolo 14 del Codice di Condotta.
• Trasferimento dei Dati in Paesi Terzi: Il produttore deve informare il cliente in merito a eventuali trasferimenti di dati personali in paesi terzi al di fuori dell’UE/SEE e garantire il rispetto delle disposizioni del GDPR in materia di trasferimento dei dati.

• Tempi di Conservazione dei Dati: Il produttore deve conservare i dati personali trattati per conto del cliente solo per il tempo necessario all’erogazione dei servizi o per il tempo concordato contrattualmente.

Responsabilità del Produttore

Il produttore di software rimane responsabile nei confronti del cliente per l’adempimento degli obblighi previsti dal Codice di Condotta e dal GDPR, anche quando si avvale di sub-responsabili del trattamento. Il cliente ha il diritto di verificare la conformità del produttore alle disposizioni del Codice di Condotta e del GDPR.

Contesti di Responsabilità del Trattamento Dati per il Produttore di Software: On-Premise e Cloud

Il Codice di Condotta distingue due contesti principali in cui il produttore di software assume il ruolo di responsabile del trattamento dati: on-premise e cloud. La responsabilità del produttore varia a seconda del contesto e delle specifiche attività svolte.

1. Contesto On-Premise

Nel contesto on-premise, il software gestionale è installato su infrastrutture, apparati e sistemi del cliente. In questo caso, il produttore di software assume il ruolo di responsabile del trattamento solo per le attività tecniche che comportano un trattamento di dati personali per conto del cliente.

L’Articolo 4 del Codice di Condotta fornisce esempi specifici di attività che configurano il produttore come responsabile del trattamento in un contesto on-premise:

• Migrazione dati durante l’installazione e il collaudo del software: Quando il produttore trasferisce o copia dati personali del cliente per l’installazione del software, agisce come responsabile del trattamento per quei dati.

• Assistenza e aggiornamento del software con accesso remoto ai dati del cliente: Se il produttore fornisce assistenza o aggiornamenti al software tramite accesso remoto (ad esempio, utilizzando strumenti di help-desk remoto VPN), agisce come responsabile del trattamento per i dati a cui accede.

• Acquisizione di database o copie di dati del cliente per la risoluzione di problemi tecnici: Quando il produttore acquisisce o copia dati personali del cliente per identificare e risolvere problemi tecnici, assume il ruolo di responsabile del trattamento per quei dati.

È importante sottolineare che, nel contesto on-premise, la responsabilità del produttore non si estende alle attività di gestione e manutenzione dell’infrastruttura su cui è installato il software. Il cliente rimane responsabile della sicurezza fisica e logica dell’infrastruttura, inclusi i backup e il ripristino dei dati.

Contesto Cloud

Nel contesto cloud, il cliente utilizza il software gestionale attraverso infrastrutture rese disponibili dal produttore (direttamente o tramite sub-fornitori). In questo caso, il produttore assume il ruolo di responsabile del trattamento per tutte le attività di trattamento dati connesse all’erogazione del servizio in cloud.

La responsabilità del produttore nel contesto cloud è più ampia rispetto al contesto on-premise, in quanto il produttore ha il controllo diretto sull’infrastruttura che ospita i dati del cliente. Pertanto, il produttore è responsabile di:

• Implementare misure di sicurezza adeguate per proteggere i dati del cliente sull’infrastruttura cloud.

• Garantire la disponibilità e l’integrità del servizio e dei dati del cliente.

• Gestire gli incidenti di sicurezza e le eventuali violazioni dei dati.

• Collaborare con il cliente per l’esercizio dei diritti degli interessati.

In entrambi i contesti, on-premise e cloud, il Codice di Condotta definisce chiaramente il ruolo e le responsabilità del produttore di software come responsabile del trattamento dati. 

La distinzione fondamentale risiede nel grado di controllo che il produttore esercita sull’infrastruttura che ospita i dati del cliente. 

Nel contesto on-premise, la responsabilità del produttore è limitata alle specifiche attività tecniche che comportano un trattamento di dati. Nel contesto cloud, la responsabilità del produttore si estende a tutti gli aspetti del trattamento dati connessi all’erogazione del servizio.

L’Allegato B: Misure di Sicurezza per i Servizi Relativi al Software Gestionale

L’Allegato B del Codice di Condotta, menzionato negli Articoli 4, 9, 10 e 11, elenca le misure di sicurezza che i produttori di software devono applicare durante la fornitura dei servizi relativi al software gestionale, sia in contesti on-premise che in cloud. 

il Codice di Condotta fornisce alcune indicazioni generali sulle misure di sicurezza che l’Allegato B dovrebbe includere:

• Misure Tecniche e Organizzative: l’Articolo 11 specifica che il produttore deve implementare misure tecniche e organizzative appropriate per garantire la sicurezza del trattamento dei dati personali. Queste misure dovrebbero essere progettate per proteggere i dati da accessi non autorizzati, alterazioni, divulgazioni o distruzioni accidentali o illecite.

• Conformità agli Standard di Sicurezza: il punto 4 dell’Allegato D suggerisce che le misure di sicurezza dell’Allegato B potrebbero essere basate su standard di sicurezza riconosciuti, come le norme ISO/IEC 27001, 27701, 27017, 27018 o le linee guida OWASP. L’adozione di standard riconosciuti facilita la verifica della conformità e dimostra l’impegno del produttore per la sicurezza dei dati.

• Valutazione dei Rischi: Il punto 4 dell’Allegato D menziona anche la valutazione dei rischi come elemento del processo di monitoraggio della conformità. Ciò implica che l’Allegato B dovrebbe richiedere ai produttori di software di condurre una valutazione dei rischi per identificare le minacce e le vulnerabilità specifiche per i servizi offerti e implementare misure di sicurezza adeguate per mitigare tali rischi.

È importante ricordare che, in base all’Articolo 11, la responsabilità del produttore per le misure di sicurezza nel contesto on-premise è limitata alle attività di sua competenza. Il cliente rimane responsabile della sicurezza dell’infrastruttura su cui è installato il software.

Adesione al Codice e Adeguatezza delle Garanzie

L’Articolo 5.1 del Codice di Condotta sottolinea l’importanza dell’adesione al Codice stesso e dell’adozione delle misure previste dagli Allegati A e B per garantire l’adeguatezza delle garanzie prestate dal produttore di software in qualità di responsabile o sub-responsabile del trattamento dei dati personali.

Il Codice afferma esplicitamente che:

Attraverso l’adesione al presente codice e l’adozione delle misure di cui all’allegato A e all’allegato B, il produttore del software assicura l’adeguatezza delle garanzie prestate quale responsabile o Sub-responsabile del trattamento, ai sensi dell’art. 28, par. 1, del regolamento.

Questo significa che il produttore di software, impegnandosi a rispettare le regole e le misure di sicurezza definite nel Codice e nei suoi allegati, dimostra di aver adottato misure concrete per proteggere i dati personali trattati per conto dei propri clienti.

L’adesione al Codice e l’implementazione delle misure previste rappresentano quindi un elemento fondamentale per la dimostrazione della conformità al GDPR da parte del produttore di software.

Ulteriori Garanzie

Oltre all’adesione al Codice, l’Articolo 5.1 specifica che il produttore può integrare le garanzie offerte anche attraverso:

• Adesione ad altri codici di condotta: Se applicabili, il produttore può aderire ad altri codici di condotta specifici per il settore o per le attività svolte.

• Certificazioni: Il produttore può ottenere certificazioni di conformità a standard di sicurezza riconosciuti, come ad esempio la ISO 27001.

• Best practice di settore: Il produttore può adottare le migliori pratiche di settore per la protezione dei dati personali.

Queste misure aggiuntive, sebbene non obbligatorie, possono rafforzare ulteriormente le garanzie offerte dal produttore e dimostrare un impegno ancora maggiore per la sicurezza dei dati.

Obbligo di Accordo Scritto per il Trattamento dei Dati Personali

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale, approvato dal Garante per la protezione dei dati personali il 17 ottobre 2024, obbliga il produttore di software a stipulare un accordo scritto con il cliente per il trattamento dei dati personali, in conformità all’art. 28 del GDPR.

Questo obbligo si applica nei casi in cui il produttore di software agisce come responsabile o sub-responsabile del trattamento dei dati personali per conto del cliente, come specificato negli Articoli 4 e 5 del Codice di Condotta.

Accordo sul Trattamento dei Dati Personali

L’Articolo 6 del Codice di Condotta disciplina specificamente l’obbligo di stipulare un accordo scritto tra il produttore di software e il cliente per il trattamento dei dati personali.

Secondo l’Articolo 6.1, l’accordo deve essere stipulato anche in forma elettronica e deve rispettare le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB). 

L’Articolo 6.2 prevede la possibilità per il produttore di software, nel caso in cui eroghi servizi a un elevato numero di clienti, di proporre un proprio schema di accordo con condizioni contrattuali uniformi e l’indicazione delle misure tecniche e organizzative garantite.

Contenuti dell’Accordo

L’accordo sul trattamento dei dati personali deve contenere tutti gli elementi essenziali previsti dall’art. 28 del GDPR, tra cui:

• L’oggetto e la durata del trattamento dei dati personali.
• La natura e la finalità del trattamento.
• Il tipo di dati personali trattati e le categorie di interessati.
• Gli obblighi e i diritti del titolare del trattamento (il cliente).
• Gli obblighi e i diritti del responsabile del trattamento (il produttore di software).
• Le misure di sicurezza implementate per proteggere i dati personali.
• Le modalità di esercizio dei diritti degli interessati.
• Le responsabilità in caso di violazione dei dati personali.

Importanza dell’Accordo Scritto

L’obbligo di stipulare un accordo scritto per il trattamento dei dati personali è fondamentale per:

• Definire chiaramente ruoli e responsabilità tra il cliente (titolare del trattamento) e il produttore di software (responsabile o sub-responsabile del trattamento).

• Garantire che il trattamento dei dati personali avvenga in conformità al GDPR e alle istruzioni del cliente.

• Fornire un quadro di riferimento per la gestione del trattamento dei dati, la sicurezza e l’esercizio dei diritti degli interessati.

L’adesione al Codice di Condotta e la stipula di un accordo scritto per il trattamento dei dati personali in conformità all’art. 28 del GDPR sono elementi essenziali per garantire la conformità del produttore di software alla normativa sulla protezione dei dati personali. L’accordo scritto fornisce un quadro chiaro e trasparente per la gestione del trattamento dei dati, contribuendo a rafforzare la fiducia dei clienti e a tutelare i diritti degli interessati.

Definizione del Ruolo dei Sub-Responsabili e Modalità di Autorizzazione

L’Articolo 7 del Codice di Condotta definisce il ruolo dei sub-responsabili del trattamento e le modalità di autorizzazione da parte del cliente.

Definizione di Sub-Responsabile

Il Codice definisce come “Sub-responsabile” del trattamento il soggetto esterno (persona fisica o giuridica) a cui la Software House (SWH) affida servizi che comportano un trattamento di dati personali. 

Questi servizi devono essere effettuati dal produttore come responsabile o sub-responsabile per conto del cliente e devono avere un rapporto di diretta dipendenza funzionale rispetto ai servizi o attività oggetto del contratto tra il produttore di software e il cliente, che è il titolare del trattamento. 

Autorizzazione del Cliente

Per poter nominare un sub-responsabile, il produttore di software necessita dell’autorizzazione scritta del cliente. [7.2] Questa autorizzazione può essere:

• Generale: Il cliente può autorizzare in generale la nomina di sub-responsabili, ma questa autorizzazione deve essere riferita a categorie di sub-responsabili individuate per tipologia di servizio reso. Il produttore di software deve fornire al cliente un elenco nominativo dei sub-responsabili appartenenti a ciascuna categoria, rendendolo disponibile attraverso modalità che ne permettano l’agevole consultazione. [7.2]

• Specifica: Il produttore di software non può ricorrere a ulteriori responsabili senza la preventiva autorizzazione specifica del cliente. [7.2]

Modifica dell’Elenco dei Sub-Responsabili

Il produttore di software può modificare o integrare l’elenco dei sub-responsabili, ma deve comunicarlo al cliente, possibilmente con congruo preavviso, attraverso le modalità concordate. [7.2] Ad esempio, la comunicazione potrebbe avvenire tramite un’area riservata online o utilizzando i canali di comunicazione previsti contrattualmente.

Diritto di Opposizione del Cliente

Il cliente ha il diritto di opporsi all’individuazione di uno o più sub-responsabili entro trenta (30) giorni dal ricevimento della comunicazione, motivando la propria opposizione. [7.3] In caso di mancato accordo, il cliente può recedere dal contratto relativo al software gestionale. [7.3]

Obblighi del Produttore di Software

Il produttore di software si impegna a:

• Mantenere un elenco aggiornato dei sub-responsabili coinvolti nel trattamento dei dati del cliente, con indicazione di: [7.4]
  • Nominativo o denominazione legale
  • Descrizione sintetica del trattamento affidato
  • Luogo del trattamento, se svolto al di fuori del territorio nazionale o europeo

• Rendere l’elenco disponibile al cliente su richiesta. [7.4]

• Stipulare con ogni sub-responsabile un accordo sul trattamento dei dati personali, imponendo obblighi coerenti e compatibili con quelli previsti dall’accordo principale con il cliente. [7.5]

• Rimanere pienamente responsabile nei confronti del cliente per l’adempimento da parte del sub-responsabile degli obblighi assunti ai sensi dell’art. 28, par. 4, del GDPR. [7.5]

Casi Speciali: Condizioni di Servizio Non Negoziabili

Il Codice affronta anche i casi in cui il produttore di software si avvale di sub-responsabili che forniscono i loro servizi sulla base di condizioni contrattuali non negoziabili, anche per quanto riguarda il trattamento dei dati. [7.6] In questi casi, il produttore di software:

• Informa il cliente del sub-responsabile e delle relative condizioni di servizio. [7.6]
• Assiste il cliente nella verifica delle condizioni di servizio del sub-responsabile. [7.6]
• Deve accettare l’eventuale opposizione del cliente all’utilizzo del sub-responsabile, se motivata da ragioni tecniche connesse alla sicurezza e alle garanzie offerte. [7.6]

Comunicazioni a un Elevato Numero di Clienti

Se il produttore di software opera con un elevato numero di clienti, le comunicazioni relative ai sub-responsabili possono essere effettuate anche tramite la pubblicazione nell’area riservata agli utenti indicati dal cliente o altri mezzi idonei che garantiscano la tutela del segreto industriale del produttore. [7.7]

Obblighi del Produttore nei confronti dei Sub-Responsabili

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale impone al produttore di software di assumere specifici obblighi nei confronti dei sub-responsabili coinvolti nel trattamento dei dati personali dei clienti.

Mantenimento di un Elenco Aggiornato

L’Articolo 7.4 del Codice stabilisce l’obbligo per il produttore di software di mantenere un elenco aggiornato dei sub-responsabili a cui affida il trattamento dei dati dei clienti. Questo elenco deve includere:

• Nominativo o denominazione legale del sub-responsabile: permette l’identificazione univoca del soggetto coinvolto nel trattamento.
• Descrizione sintetica del trattamento affidato: chiarisce la natura e le finalità del trattamento svolto dal sub-responsabile.
• Luogo del trattamento: è fondamentale indicare il luogo dove avviene il trattamento, soprattutto se si tratta di un Paese al di fuori del territorio nazionale o europeo, in quanto potrebbero essere applicabili normative diverse in materia di protezione dei dati personali.

Il produttore di software ha l’obbligo di rendere questo elenco disponibile al cliente su richiesta. Per la fornitura della lista, il produttore può richiedere al cliente la sottoscrizione di idonei impegni di riservatezza. [7.4]

Stipula di un Accordo sul Trattamento dei Dati Personali

Oltre a mantenere un elenco aggiornato, l’Articolo 7.5 del Codice obbliga il produttore di software a stipulare con ciascun sub-responsabile un accordo scritto sul trattamento dei dati personali, conforme al GDPR. Questo accordo deve:

• Imporre obblighi coerenti e compatibili con quelli previsti dall’accordo principale tra il produttore di software e il cliente. Questo garantisce una catena di responsabilità e di conformità al GDPR in tutte le fasi del trattamento dei dati.

• Definire chiaramente ruoli e responsabilità del sub-responsabile nel trattamento dei dati personali.

• Stabilire le misure di sicurezza che il sub-responsabile deve implementare per proteggere i dati personali.

Responsabilità del Produttore

È importante sottolineare che, nonostante l’affidamento del trattamento a un sub-responsabile, il produttore di software rimane pienamente responsabile nei confronti del cliente per l’adempimento da parte del sub-responsabile degli obblighi assunti ai sensi dell’art. 28, par. 4, del GDPR. [7.5]

Casi in cui il Produttore Agisce come Titolare del Trattamento

Il Codice di Condotta definisce specificamente i casi in cui il produttore di software agisce come titolare del trattamento dei dati personali del cliente e dei suoi utenti.

L’Articolo 8 del Codice di Condotta si concentra su questo aspetto, delineando le situazioni in cui il produttore, pur fornendo software gestionale e servizi correlati, assume il ruolo di titolare per specifici trattamenti.

Dati del Cliente e degli Utenti per Finalità Amministrative e Contabili

Il produttore di software agisce in qualità di titolare del trattamento dei dati personali:

• riferiti al cliente, se si tratta di una persona fisica,
• riferiti ai rappresentanti, esponenti, referenti, dipendenti e collaboratori del cliente, se quest’ultimo è una persona giuridica, un ente o un’associazione. [8.1]

Questi dati, acquisiti per lo svolgimento delle attività amministrative, contabili, organizzative e tecniche, sono necessari per la gestione del rapporto contrattuale con il cliente. [8.1] Esempi di tali attività includono:

• Definizione e sottoscrizione del contratto
• Fatturazione dei servizi
• Gestione degli accessi e dell’utilizzo del software gestionale
• Gestione e manutenzione dei relativi sistemi e piattaforme
• Assistenza e attività di help-desk a supporto degli utenti del cliente

In questi casi, il produttore di software, in qualità di titolare del trattamento, è tenuto al rispetto di tutti gli obblighi previsti dal GDPR. [8.1] Il Codice sottolinea che questi obblighi si aggiungono a quelli che il produttore deve rispettare come responsabile o sub-responsabile del trattamento in base al GDPR e al Codice stesso. [8.1]

Dati Aggregati per Finalità Statistiche e di Miglioramento del Software

Oltre alle finalità amministrative e contabili, l’Articolo 8.2 del Codice di Condotta specifica che il produttore di software, in qualità di titolare, può trattare i dati personali del cliente e dei suoi utenti in forma aggregata.

Questo significa che il produttore può elaborare dati come:

• Metriche di utilizzo del software
• Indicatori di performance
• Statistiche di accesso alle funzionalità

Tali dati aggregati non permettono l’identificazione degli individui, garantendo quindi un livello di anonimizzazione.

Le finalità di questo trattamento sono:

• Statistiche
• Analisi
• Studio e ricerca

Tutte finalizzate a migliorare la sicurezza, le prestazioni e le funzionalità del software e dei servizi correlati. [8.2]

Il Codice specifica che questo trattamento è legittimo se:

• Persegue i legittimi interessi del produttore di software, come il miglioramento del software e dei servizi offerti.

• Si basa sul principio di minimizzazione dei dati, elaborando solo i dati strettamente necessari per le finalità indicate.
• È preceduto da un’informativa agli interessati che chiarisca le finalità del trattamento e i legittimi interessi perseguiti. [8.2]

Modalità di Informativa

Per garantire la trasparenza, il produttore di software può fornire l’informativa agli interessati (cliente e utenti) in diverse modalità:

• In fase di sottoscrizione del contratto, anche in forma elettronica. [8.3]

• Attraverso la comunicazione di informazioni essenziali e sintetiche, prima dell’accesso o dell’utilizzo del software e delle relative funzionalità. [8.3]

• Rinviando a un’informativa più estesa, consultabile sul sito internet del produttore, secondo gli schemi esemplificativi predisposti dall’Associazione e pubblicati sul sito dedicato al Codice di Condotta. [8.3]

Obbligo di Registro dei Trattamenti per il Produttore

Il Codice di Condotta impone al produttore di software l’obbligo di tenere un registro delle attività di trattamento svolte in qualità di responsabile, anche quando opera per un elevato numero di clienti.

L’Articolo 9.1 del Codice afferma che il produttore di software, in qualità di responsabile del trattamento, deve mantenere un registro delle attività di trattamento ai sensi dell’art. 30, par. 2, del GDPR. Questo obbligo sussiste a prescindere dal numero di dipendenti dell’azienda o dalla natura dei dati trattati, poiché i trattamenti svolti dal produttore di software non sono occasionali. [9.1]

Modalità di Tenuta del Registro con Molteplici Clienti

L’Articolo 9.2 riconosce la complessità della tenuta del registro quando il produttore di software opera come responsabile del trattamento per numerosi clienti. A tal fine, il Codice suggerisce delle modalità semplificate per la tenuta e la conservazione del registro: [9.2]

• Indicazione dei clienti titolari del trattamento: invece di elencare dettagliatamente tutti i trattamenti per ogni cliente, il produttore può indicare i clienti titolari del trattamento per i quali svolge attività di trattamento. Questo può essere fatto tramite rinvii a schede o banche dati anagrafiche dei clienti, con l’indicazione dei prodotti e/o servizi acquistati. [9.2]

• Descrizione delle categorie di trattamenti: la descrizione dettagliata di ogni singolo trattamento può essere sostituita da un rinvio a schede di servizio o alla documentazione tecnica del prodotto o servizio, che illustrano le categorie di trattamenti svolti per quella specifica tipologia di cliente o servizio. [9.2]

Caso Specifico: produttore come sub-Responsabile

L’Articolo 9.3 affronta il caso specifico in cui il produttore di software agisce come sub-responsabile del trattamento per un cliente che a sua volta opera come responsabile per conto di un terzo titolare. In questa situazione, il produttore non ha una relazione contrattuale diretta con il terzo titolare e l’identificazione di quest’ultimo potrebbe risultare eccessivamente onerosa.

Pertanto, il Codice di Condotta prevede che il produttore, nel proprio registro dei trattamenti, possa indicare solo il nominativo del cliente con cui ha stipulato il contratto di servizi e l’Accordo sul trattamento dei dati personali ai sensi dell’art. 28 del GDPR. [9.3]

Obbligo Separato per il Produttore come Titolare

L’Articolo 9.4 sottolinea che, nelle ipotesi in cui il produttore agisce come titolare del trattamento (come descritto nell’Articolo 8), rimane l’obbligo di tenere un registro separato per le attività di trattamento svolte in tale veste, ai sensi dell’art. 30, par. 1, del GDPR. 

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale:

• Impone al produttore di software l’obbligo di tenere un registro delle attività di trattamento svolte come responsabile, anche per un elevato numero di clienti.
• Suggerisce modalità semplificate per la tenuta del registro in questi casi.
• Prevede un obbligo separato di tenuta del registro per i trattamenti svolti dal produttore come titolare.

L’obiettivo è garantire la tracciabilità e la trasparenza delle attività di trattamento dei dati personali svolte dal produttore di software, a tutela dei diritti degli interessati.

Collaborazione tra Produttore e Cliente per l’Analisi dei Rischi e la Valutazione d’Impatto

Il Codice di Condotta sottolinea l’importanza della collaborazione tra il produttore di software e il cliente per quanto riguarda l’analisi dei rischi e la valutazione d’impatto sulla protezione dati (DPIA). 

L’Articolo 10 si concentra su questo aspetto, evidenziando il ruolo attivo che il produttore deve assumere nel supportare il cliente nell’adempimento dei suoi obblighi.

Supporto del Produttore all’Analisi dei Rischi e alla DPIA del Cliente

Il Codice di Condotta stabilisce che il produttore di software, pur non essendo direttamente responsabile per la conduzione dell’analisi dei rischi e della DPIA, ha l’obbligo di collaborare con il cliente per permettergli di adempiere a questi obblighi di legge. [10.1]

Il produttore deve fornire al cliente le informazioni necessarie per valutare i rischi e l’impatto del trattamento dei dati personali effettuato tramite il software gestionale. Tali informazioni riguardano:

• Caratteristiche tecniche del software gestionale
• Funzionamento del software
• Funzionalità e misure di sicurezza implementate [10.1]

Oltre alle informazioni già contenute nel contratto di servizio e nell’Accordo sul trattamento dei dati personali, il produttore può fornire:

• Certificazioni
• Attestazioni
• Documentazioni tecniche e di sicurezza basate su standard di riferimento del settore [10.1]
• Ulteriore documentazione tecnica e di sicurezza specificatamente predisposta dal produttore per supportare il cliente nell’analisi dei rischi e nella DPIA [10.1]

Facilitazione delle Valutazioni del Cliente

L’adozione da parte del produttore delle misure di sicurezza e privacy descritte negli Allegati A e B del Codice di Condotta ha lo scopo di facilitare le valutazioni che il cliente deve condurre in base agli Articoli 24, 25, 32 e 35 del GDPR. [10.2]

Il riferimento, negli allegati A e B, alle disposizioni applicabili del GDPR e alle norme internazionali tecniche pertinenti consente al cliente di verificare autonomamente la conformità del software gestionale rispetto alle misure di sicurezza e privacy. [10.2]

Obblighi del Produttore come Titolare del Trattamento

L’Articolo 10.3 ricorda che, nei casi in cui il produttore agisce come titolare del trattamento (come descritto nell’Articolo 8), lo stesso produttore è tenuto ad adempiere agli obblighi di analisi dei rischi, adozione delle misure di sicurezza e, se necessario, di valutazione d’impatto sulla protezione dati previsti dal GDPR. [10.3]

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale:

• Richiede al produttore di software di collaborare attivamente con il cliente per l’analisi dei rischi e la valutazione d’impatto sulla protezione dati, fornendo informazioni dettagliate sul software gestionale e sulle misure di sicurezza implementate.

• Mira a facilitare le valutazioni del cliente tramite l’adozione di misure di sicurezza e privacy conformi al GDPR e agli standard di settore.

• Ribadisce gli obblighi del produttore come titolare del trattamento, qualora si verificassero le condizioni descritte nell’Articolo 8.

L’obiettivo è promuovere un approccio collaborativo e responsabile alla protezione dei dati personali durante l’intero ciclo di vita del software gestionale, coinvolgendo sia il produttore che il cliente nella valutazione e nella gestione dei rischi.

Misure degli Allegati A e B: Facilitazione delle Valutazioni del Cliente ai sensi del GDPR

L’Articolo 10.2 del Codice di Condotta evidenzia come le misure tecniche, organizzative e di sicurezza descritte negli Allegati A e B siano pensate per facilitare il cliente nelle valutazioni che deve condurre in base agli Articoli 24, 25, 32 e 35 del GDPR. [10.2]

In particolare, il riferimento negli allegati A e B alle disposizioni applicabili del GDPR e alle norme internazionali tecniche pertinenti permette al cliente di:

• Comprendere in modo più chiaro quali misure sono necessarie per garantire la conformità del trattamento dei dati personali effettuato tramite il software gestionale.
• Verificare autonomamente la conformità del software gestionale rispetto a tali misure, senza dover ricorrere a competenze specialistiche esterne.
• Effettuare le proprie valutazioni in modo più efficiente e accurato, riducendo il tempo e le risorse necessarie per l’analisi dei rischi e la valutazione d’impatto sulla protezione dati. [10.2]

In sostanza, gli Allegati A e B fungono da guida pratica per il cliente, fornendo un quadro di riferimento concreto e dettagliato per la protezione dei dati personali.

Ad esempio:

• L’Allegato A potrebbe descrivere le misure tecniche e organizzative da implementare in fase di progettazione e sviluppo del software gestionale per garantire la privacy by design e by default (Articolo 25 del GDPR).

• L’Allegato B potrebbe elencare le misure di sicurezza da adottare per proteggere i dati personali trattati tramite il software gestionale, in linea con i principi di integrità e riservatezza (Articolo 32 del GDPR).

Grazie a questa struttura, il cliente è in grado di valutare più facilmente se il software gestionale che intende utilizzare offre un livello di protezione adeguato ai requisiti del GDPR.

Obbligo di Adottare le Misure di Sicurezza dell’Allegato B

Il Codice di Condotta obbliga il produttore di software ad adottare le misure di sicurezza descritte nell’Allegato B durante lo svolgimento dei servizi che possono comportare il trattamento di dati personali per conto del cliente.

Questa obbligazione è specificata nell’Articolo 4 del Codice, che definisce i contesti in cui il produttore assume il ruolo di responsabile del trattamento.

Contesti di Applicazione dell’Allegato B

L’Allegato B si applica nei seguenti casi:

• Servizi in cloud: Quando il software gestionale è fornito ed eseguito su infrastrutture messe a disposizione dal produttore (o da suoi sub-fornitori) e il produttore svolge attività tecniche che comportano il trattamento di dati personali. In questo caso, il produttore opera sempre come responsabile del trattamento. [4.1, 4.2]

• Servizi on premise: Quando il software gestionale è installato su infrastrutture, apparati e sistemi del cliente, ma il produttore è chiamato a svolgere specifiche attività tecniche che possono comportare il trattamento di dati personali.

Esempi di queste attività includono:

• Migrazione dei dati per l’installazione e il collaudo del software [4.2]

• Assistenza e aggiornamento del software con accesso remoto ai dati del cliente [4.2]

• Acquisizione del database del cliente o esportazione e copia di dati personali per la verifica di problemi tecnici [4.2]

In questi casi, il produttore assume il ruolo di responsabile del trattamento solo per le attività specifiche che comportano il trattamento di dati personali. [4.1, 4.2]

Responsabilità del Produttore per la Sicurezza

L’Articolo 4.3 stabilisce che il produttore, in qualità di responsabile del trattamento nei contesti on premise e in cloud, si impegna a osservare le misure di sicurezza elencate nell’Allegato B. [4.3]

Trasparenza e Collaborazione con il Cliente

Il Codice di Condotta incoraggia la trasparenza e la collaborazione tra il produttore e il cliente per quanto riguarda le misure di sicurezza.

• L’Articolo 11.3 obbliga il produttore a mettere a disposizione del cliente una descrizione delle misure di sicurezza applicate, in modo che il cliente possa valutare la loro adeguatezza rispetto alle proprie esigenze. [11.3]

• Come discusso in precedenza, l’Articolo 10 sottolinea l’importanza della collaborazione tra produttore e cliente per l’analisi dei rischi e la valutazione d’impatto sulla protezione dei dati.

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale:

• Obbliga il produttore ad adottare le misure di sicurezza dell’Allegato B quando svolge servizi che comportano il trattamento di dati personali per conto del cliente.

• Definisce i contesti di applicazione dell’Allegato B, distinguendo tra servizi in cloud e servizi on premise.

• Chiarisce le responsabilità del produttore per la sicurezza, specificando le limitazioni nei contesti on premise.

• Promuove la trasparenza e la collaborazione con il cliente, prevedendo l’obbligo di fornire una descrizione delle misure di sicurezza applicate e di supportare il cliente nell’analisi dei rischi.

L’obiettivo è garantire un livello di sicurezza adeguato per i dati personali trattati tramite il software gestionale, coinvolgendo sia il produttore che il cliente nella responsabilità per la protezione dei dati.

Trasparenza sulle Misure di Sicurezza: Obbligo di Descrizione per il Produttore

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale enfatizza l’importanza della trasparenza da parte del produttore di software riguardo alle misure di sicurezza adottate per proteggere i dati personali trattati tramite il software gestionale.

L’Articolo 11.3 stabilisce espressamente che il produttore di software si impegna a mettere a disposizione in modo trasparente una descrizione delle misure di sicurezza applicate. [11.3]

Questa descrizione deve essere sufficientemente dettagliata da permettere al cliente di:

• Comprendere quali misure di sicurezza sono state implementate dal produttore per proteggere i dati personali.
• Valutare se tali misure sono adeguate rispetto alle proprie esigenze e ai requisiti di sicurezza specifici del trattamento che intende effettuare. [11.3]

Finalità della Trasparenza

La trasparenza sulle misure di sicurezza ha diverse finalità:

• Consentire al cliente di prendere decisioni informate riguardo all’utilizzo del software gestionale, valutando se il livello di sicurezza offerto dal produttore è in linea con le proprie aspettative e con la normativa vigente.

• Rafforzare la fiducia del cliente nel produttore, dimostrando l’impegno del produttore per la protezione dei dati personali.

• Facilitare la collaborazione tra produttore e cliente per la definizione di un piano di sicurezza condiviso e la gestione dei rischi.

Modalità di Fornitura della Descrizione

Il Codice di Condotta non specifica le modalità con cui il produttore deve fornire al cliente la descrizione delle misure di sicurezza applicate.

È possibile che tale descrizione venga inclusa:

• Nella documentazione tecnica del software gestionale.
• Nell’Accordo sul trattamento dei dati personali (Articolo 28 del GDPR) stipulato tra il produttore e il cliente. [6.1]
• In un documento separato dedicato specificamente alle misure di sicurezza.

Il produttore potrebbe anche decidere di rendere disponibili ulteriori informazioni sulla sicurezza, come ad esempio:

• Report di audit condotti da auditor indipendenti (Articolo 17.2 del Codice di Condotta). [17.2]

• Certificazioni di sicurezza ottenute dal produttore o dai suoi sub-fornitori.

L’obbligo di fornire una descrizione trasparente delle misure di sicurezza applicate è un elemento chiave del Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale.

Questa trasparenza è fondamentale per:

• Permettere al cliente di valutare l’adeguatezza delle misure di sicurezza rispetto alle proprie esigenze.
• Rafforzare la fiducia tra produttore e cliente.
• Promuovere un approccio collaborativo alla protezione dei dati personali.

Gestione dei Data Breach: Obbligo di Procedura Documentata

Il Codice di Condotta impone al produttore di software l’adozione di una procedura documentata per la gestione degli incidenti di sicurezza che potrebbero costituire una violazione dei dati personali (Data Breach), come definito dall’Articolo 4, paragrafo 1, numero 12) del Regolamento. [12.1]

Questa obbligazione è esplicitamente sancita dall’Articolo 12 del Codice di Condotta.

Contenuto della Procedura Documentata

La procedura documentata per la gestione dei Data Breach deve definire nello specifico:

• Le azioni che il produttore di software, in qualità di responsabile del trattamento, deve intraprendere in caso di incidente. [12.1]

• Le informazioni che il produttore deve fornire al cliente, per permettere a quest’ultimo di adempiere ai propri obblighi in materia di notifica all’Autorità di controllo e di comunicazione agli interessati, previsti dagli Articoli 33 e 34 del Regolamento. [12.1]

Tempestività e Coinvolgimento del DPO

La procedura deve garantire:

• Il tempestivo coinvolgimento del Responsabile della Protezione dei Dati (DPO) e delle funzioni aziendali interessate dall’incidente (ad esempio, assistenza, IT, ricerca e sviluppo). [12.2]

• L’adozione immediata di misure per limitare o mitigare l’impatto dell’incidente sui trattamenti di dati personali. [12.2]

Comunicazione al Cliente

Nel caso in cui, a seguito delle verifiche interne condotte dal produttore, si confermi con ragionevole certezza l’esistenza di una violazione dei dati personali, il produttore è tenuto a:

• Comunicare l’incidente al cliente senza ingiustificato ritardo, e comunque, ove possibile, entro 48 ore. [12.3]

È importante sottolineare che:

• Spetta al cliente, in qualità di titolare del trattamento, valutare se l’incidente configuri un Data Breach ai sensi del Regolamento e se il rischio per i diritti e le libertà degli interessati sia tale da richiedere la notifica all’Autorità di controllo e la comunicazione agli interessati. [12.3]

• Se il cliente opera come responsabile del trattamento per conto di un altro titolare, è tenuto a informare tempestivamente quest’ultimo della potenziale violazione non appena riceve la comunicazione dal produttore. [12.3]

Responsabilità dei Sub-Responsabili

Il produttore di software deve assicurare che anche i sub-responsabili da lui incaricati per l’erogazione dei servizi al cliente rispettino gli obblighi in materia di gestione dei Data Breach previsti dal Codice di Condotta. [12.4]

In particolare, i sub-responsabili sono tenuti a:

• Comunicare al produttore qualsiasi incidente di sicurezza non appena ne vengano a conoscenza, senza ingiustificato ritardo e con le modalità e nei termini stabiliti dalla procedura. [12.4]

Obblighi del Produttore come Titolare del Trattamento

Resta inteso che, nei casi in cui il produttore di software agisce in qualità di titolare del trattamento (come descritto nell’Articolo 8 del Codice di Condotta), è tenuto ad adempiere agli obblighi di notifica e comunicazione previsti dagli Articoli 33 e 34 del Regolamento. [12.5]

L’obbligo di adottare una procedura documentata per la gestione dei Data Breach è un elemento fondamentale del Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale.

Questa procedura, definendo in modo chiaro ruoli, responsabilità e modalità operative, contribuisce a:

• Prevenire e gestire in modo efficace gli incidenti di sicurezza.
• Minimizzare l’impatto delle violazioni dei dati personali sui diritti e le libertà degli interessati.
• Garantire la conformità al Regolamento in materia di Data Breach.

Responsabilità del Produttore e del Cliente in Caso di Data Breach

Il Codice di Condotta definisce in modo chiaro le responsabilità del produttore e del cliente in caso di Data Breach, distinguendo tra i diversi ruoli che possono assumere nell’ambito del trattamento dei dati personali.

Responsabilità del Produttore

Il produttore di software, in qualità di responsabile del trattamento (o sub-responsabile), ha le seguenti responsabilità in caso di Data Breach:

• Attuare la procedura documentata per la gestione degli incidenti di sicurezza. [12.1]
• Coinvolgere tempestivamente il DPO e le funzioni aziendali interessate. [12.2]
• Adottare misure immediate per limitare o mitigare l’impatto dell’incidente. [12.2]
• Comunicare l’incidente al cliente senza ingiustificato ritardo, e comunque, ove possibile, entro 48 ore. [12.3]
• Fornire al cliente le informazioni necessarie per permettergli di adempiere ai propri obblighi di notifica all’Autorità di controllo e di comunicazione agli interessati. [12.1]
• Assicurare che i sub-responsabili rispettino gli obblighi in materia di Data Breach. [12.4]

Responsabilità del Cliente

Il cliente, in qualità di titolare del trattamento, ha le seguenti responsabilità in caso di Data Breach:

• Valutare se l’incidente comunicato dal produttore configuri un Data Breach ai sensi del Regolamento. [12.3]
• Determinare se il rischio per i diritti e le libertà degli interessati sia tale da richiedere la notifica all’Autorità di controllo e la comunicazione agli interessati. [12.3]
• Adempiere agli obblighi di notifica e comunicazione previsti dagli Articoli 33 e 34 del Regolamento, se necessario.

Se il cliente opera come responsabile del trattamento per conto di un altro titolare, ha la responsabilità di:

• Informare tempestivamente il titolare della potenziale violazione. [12.3]

Collaborazione tra Produttore e Cliente

È importante sottolineare che il Codice di Condotta incoraggia la collaborazione tra il produttore e il cliente nella gestione dei Data Breach.

Il produttore, pur non essendo responsabile della valutazione del rischio e della decisione di notifica, ha l’obbligo di supportare il cliente fornendogli tutte le informazioni necessarie per permettergli di adempiere ai propri obblighi.

Il Codice di Condotta, definendo in modo preciso le responsabilità del produttore e del cliente in caso di Data Breach, contribuisce a:

• Rendere più efficace la gestione degli incidenti di sicurezza.
• Minimizzare l’impatto delle violazioni dei dati personali sui diritti e le libertà degli interessati.
• Garantire la conformità al Regolamento in materia di Data Breach.

Obblighi di Riservatezza, Accesso ai Dati e Formazione per il Personale Autorizzato

Il Codice di Condotta stabilisce una serie di obblighi per il produttore di software in relazione al personale autorizzato al trattamento dei dati personali. L’obiettivo è garantire che solo le persone che ne hanno effettivamente bisogno possano accedere ai dati e che siano adeguatamente formate per gestirli in modo sicuro e conforme al Regolamento.

L’Articolo 13.1 del Codice di Condotta afferma che il produttore di software deve assicurare che il personale autorizzato al trattamento dei dati personali:

• Sia sottoposto ad obblighi di riservatezza, anche dopo la cessazione del rapporto di lavoro. [13.1]
• Abbia accesso ai soli dati personali necessari per lo svolgimento delle proprie mansioni. [13.1]
• Riceva un’adeguata formazione riguardo alle attività di trattamento a lui affidate, alle procedure adottate e ai diritti degli interessati previsti dal Regolamento. [13.1]

Obblighi di Riservatezza

L’obbligo di riservatezza è fondamentale per proteggere i dati personali da accessi non autorizzati e da divulgazioni indebite. Il produttore di software deve adottare misure adeguate per garantire che il personale autorizzato al trattamento dei dati si impegni a mantenere la riservatezza delle informazioni a cui ha accesso.

Accesso ai Dati Necessari

Il principio di minimizzazione dei dati, sancito dall’Articolo 5 del Regolamento, prevede che i dati personali debbano essere trattati solo se necessari per le finalità del trattamento. In linea con questo principio, il Codice di Condotta stabilisce che il personale autorizzato deve poter accedere solo ai dati strettamente indispensabili per lo svolgimento delle proprie attività lavorative.

Formazione Adeguata

La formazione del personale è un elemento cruciale per garantire la corretta applicazione del Regolamento e la protezione dei dati personali. Il Codice di Condotta prevede che il produttore di software fornisca al personale autorizzato un’adeguata formazione in materia di protezione dei dati personali.

L’Articolo 13.2 del Codice di Condotta specifica che la formazione deve essere:

• Erogata in diverse modalità (presenza, e-learning, FAD). [13.2]
• Periodicamente ripetuta per tener conto dell’evoluzione tecnologica, normativa e organizzativa. [13.2]

Documentazione

Il produttore di software è tenuto a mantenere un’adeguata documentazione che dimostri l’individuazione delle persone autorizzate al trattamento, le istruzioni impartite e la formazione erogata. [13.1, 13.2]

Funzionalità per l’Esercizio dei Diritti degli Interessati

Il Codice di Condotta obbliga il produttore di software a fornire al cliente funzionalità che gli consentano di rispondere alle richieste di esercizio dei diritti degli interessati, come previsto dal Capo III del Regolamento. [14.1]

Questa obbligazione è esplicitamente sancita dall’Articolo 14 del Codice di Condotta.

Fornitura di Funzionalità Specifiche

Il produttore di software, ove tecnicamente possibile in base alle caratteristiche del software gestionale, si impegna a mettere a disposizione del cliente funzionalità che gli permettano di:

• Rettificare i dati personali trattati tramite il software. [14.1]
• Cancellare i dati personali trattati tramite il software. [14.1]
• Consentire l’accesso ai dati personali trattati tramite il software. [14.1]
• Estrarre o esportare i dati personali trattati tramite il software, ove necessario in un formato strutturato, comunemente usato e leggibile da una macchina. [14.1]
• Limitare il trattamento dei dati personali trattati tramite il software. [14.1]

Oltre a fornire queste funzionalità, il produttore di software si impegna a fornire al cliente idonee informazioni esplicative sul loro utilizzo, anche nell’ambito della documentazione tecnica del software. [14.1]

Assistenza al Cliente

Nel caso in cui non sia possibile fornire funzionalità specifiche per l’esercizio dei diritti degli interessati, anche a causa dello stato dell’arte e dei costi di attuazione, il produttore di software si impegna a fornire al cliente l’assistenza ragionevolmente necessaria per l’evasione delle richieste degli interessati. [14.1]

Richieste Ricevute Direttamente dal Produttore

Se il produttore di software riceve direttamente richieste da parte di un interessato concernenti il trattamento di dati personali effettuato per conto del cliente, ha due opzioni:

• Invitare l’interessato a rivolgersi al cliente, in qualità di titolare del trattamento. [14.2]
• Comunicare tempestivamente la richiesta al cliente, entro un termine ragionevole non superiore a dieci giorni lavorativi dalla ricezione. [14.2]

In entrambi i casi, il produttore di software si impegna a collaborare con il cliente fornendogli le informazioni in suo possesso che possono essere utili per la gestione della richiesta dell’interessato. [14.2]

Obblighi del Produttore come Titolare del Trattamento

Resta inteso che, nei casi in cui il produttore di software agisce in qualità di titolare del trattamento (come descritto nell’Articolo 8 del Codice di Condotta), è tenuto a rispettare gli obblighi previsti dagli Articoli da 15 a 22 del Regolamento in materia di esercizio dei diritti degli interessati. [14.3]

Collaborazione tra Produttore e Cliente

La collaborazione tra produttore e cliente è fondamentale per garantire una corretta ed efficace gestione delle richieste degli interessati. Il produttore, pur non essendo direttamente responsabile di dare riscontro alle richieste, ha l’obbligo di supportare il cliente fornendogli le informazioni necessarie.

Esempio di Collaborazione

Si immagini un interessato che contatti il produttore di software per chiedere la cancellazione dei propri dati personali. Il produttore, in questo caso, potrebbe:

1. Informare l’interessato che la richiesta deve essere rivolta al cliente, titolare del trattamento, fornendogli i contatti del cliente.
2. Trasmettere la richiesta al cliente, allegando eventuali informazioni in suo possesso sull’interessato e sui dati trattati.

Il cliente, a sua volta, si occuperà di dare riscontro alla richiesta dell’interessato, valutando la sua fondatezza e procedendo alla cancellazione dei dati se necessario.

Trattamento dei Dati in Paesi UE/SEE

Il Codice di Condotta stabilisce che il trattamento dei dati personali debba avvenire di regola in Paesi dell’Unione Europea (UE) o del Spazio Economico Europeo (SEE). [15.1]

L’Articolo 15.1 specifica che, per lo svolgimento dei servizi, il produttore di software si impegna a utilizzare infrastrutture e piattaforme situate in Paesi UE/SEE.

Casi Eccezionali

Il Codice di Condotta prevede la possibilità di trasferire i dati personali in Paesi terzi al di fuori dell’UE/SEE solo in casi eccezionali, a condizione che siano rispettate specifiche garanzie.

Il produttore di software può trasferire i dati in un Paese terzo solo se:

• La Commissione Europea ha riconosciuto l’adeguatezza del livello di protezione dei dati personali garantito da quel Paese, ai sensi dell’Articolo 45 del Regolamento. [15.1]
• Sono applicabili le garanzie appropriate o le condizioni previste dagli Articoli da 46 a 49 del Regolamento. [15.1]

Sub-responsabili in Paesi Terzi

Il produttore di software può avvalersi di sub-responsabili che operano in Paesi terzi, ma deve assicurarsi che questi non effettuino attività che comportino un trasferimento dei dati personali al di fuori dell’UE/SEE, se non in accordo con il cliente e in presenza di misure di salvaguardia adeguate. [15.1]

Informazione al Cliente

Il produttore di software ha l’obbligo di informare preventivamente il cliente riguardo a eventuali attività che possano comportare un trasferimento di dati personali in Paesi terzi al di fuori dell’UE/SEE. [15.2]

In particolare, il produttore deve fornire al cliente:

• Indicazioni specifiche sul Paese di destinazione dei dati. [15.2]
• Informazioni sulla sussistenza di garanzie adeguate ai sensi degli Articoli da 44 a 49 del Regolamento. [15.2]

Questa informazione preventiva permette al cliente, in qualità di titolare del trattamento, di impartire le necessarie istruzioni al produttore di software in merito al trasferimento dei dati. [15.2]

Obblighi del Produttore come Titolare

Nei casi in cui il produttore di software agisce in qualità di titolare del trattamento, è tenuto a rispettare gli obblighi previsti dagli Articoli da 44 a 49 del Regolamento in materia di trasferimento dei dati personali in Paesi terzi. [15.3]

Garanzie Previste dal GDPR

Il GDPR prevede diverse garanzie per il trasferimento dei dati personali in Paesi terzi, tra cui:

• Decisione di adeguatezza: la Commissione Europea può riconoscere che un Paese terzo offre un livello di protezione dei dati personali adeguato a quello garantito nell’UE. [15.1]

• Clausole contrattuali standard: la Commissione Europea ha adottato clausole contrattuali standard che possono essere utilizzate nei contratti tra titolari del trattamento e responsabili del trattamento per garantire un livello adeguato di protezione dei dati. [15.1]

• Norme vincolanti d’impresa: le norme vincolanti d’impresa sono un insieme di regole interne aziendali che garantiscono un livello adeguato di protezione dei dati per i trasferimenti all’interno di un gruppo di imprese. [15.1]

• Deroghe specifiche: il GDPR prevede alcune deroghe specifiche per i trasferimenti di dati, ad esempio per l’esecuzione di un contratto o per importanti motivi di interesse pubblico. [15.1]

Obbligo di Documentazione

Il produttore di software deve mantenere la documentazione che dimostra le misure adottate per garantire la protezione dei dati personali durante il trasferimento in Paesi terzi. [15.2]

Conservazione dei Dati Personali Trattati per Conto del Cliente

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale definisce le modalità e i tempi di conservazione dei dati personali trattati per conto del cliente.

Durata della Conservazione

L’Articolo 16.1 stabilisce che il produttore di software, in qualità di responsabile del trattamento, conserva i dati personali per tutta la durata dei servizi e comunque per un tempo non superiore a quello necessario per la loro erogazione o a quello contrattualmente pattuito. [16.1]

La conservazione dei dati è quindi strettamente legata alla fornitura dei servizi al cliente. Il produttore non può conservare i dati personali per un periodo più lungo di quello necessario per l’erogazione dei servizi o per quello concordato con il cliente nell’Accordo sul trattamento dei dati personali.

Cancellazione o Restituzione dei Dati

Alla cessazione del servizio, per qualsiasi causa intervenuta, il produttore di software è tenuto a cancellare i dati personali dai propri sistemi o a restituirli al cliente. [16.2]

Prima di procedere alla cancellazione, il produttore deve mantenere i dati a disposizione del cliente per un periodo non inferiore a 30 giorni successivi alla cessazione del Contratto, consentendo al cliente di estrarre i dati o richiederne copia. [16.2]

Eccezioni alla Cancellazione

L’Articolo 16.3 prevede alcune eccezioni all’obbligo di cancellazione dei dati personali. Il produttore può conservare i dati anche oltre i termini previsti:

• Per assolvere ad obblighi di legge italiani o europei in relazione ai servizi svolti. [16.3]
• Per necessità esplicita, legittima e trasparente del produttore, ad esempio per la difesa in giudizio o per l’attuazione di misure di sicurezza. [16.3]

In questi casi, la conservazione dei dati deve essere giustificata e documentata dal produttore.

Istruzioni del Cliente

L’Articolo 16.1 sottolinea l’importanza delle istruzioni impartite dal cliente in merito alla conservazione dei dati. [16.1]

Il produttore di software è tenuto a seguire le istruzioni del cliente, concordate nell’Accordo sul trattamento dei dati personali, per quanto riguarda la durata della conservazione e le modalità di cancellazione o restituzione dei dati.

Cancellazione o Restituzione dei Dati alla Cessazione del Servizio

Il Codice di Condotta stabilisce chiaramente l’obbligo del produttore di software di cancellare o restituire i dati personali alla cessazione del servizio. [16.2]

Articolo 16.2

L’Articolo 16.2 del Codice di Condotta afferma che, alla cessazione del servizio, per qualsiasi causa, il produttore di software è tenuto a:

• Cancellare i dati personali dai propri sistemi o da quelli su cui ha il controllo. [16.2]
• In alternativa, restituire i dati personali al cliente, secondo le modalità concordate. [16.2]

Termine per la Cancellazione

Il produttore di software deve eseguire la cancellazione o la restituzione dei dati entro il termine previsto nel Contratto. [16.2]

Periodo di Conservazione Pre-Cancellazione

Prima di procedere alla cancellazione definitiva, il produttore di software deve mantenere i dati personali a disposizione del cliente per un periodo non inferiore a 30 giorni successivi alla cessazione del Contratto. [16.2]

Questo periodo di “grazia” permette al cliente di:

• Estrarre i dati personali dai sistemi del produttore. [16.2]
• Richiedere una copia dei dati personali. [16.2]

Il produttore di software e il cliente devono concordare le modalità di estrazione o di fornitura della copia dei dati. [16.2]

Eccezioni all’Obbligo di Cancellazione

L’Articolo 16.3 del Codice di Condotta prevede alcune eccezioni all’obbligo di cancellazione o restituzione dei dati alla cessazione del servizio.

Il produttore di software può conservare i dati personali anche oltre i termini previsti:

• Per adempiere a obblighi di legge italiani o europei relativi ai servizi svolti. [16.3]
• Quando sussiste una necessità esplicita, legittima e trasparente del produttore, ad esempio per difendersi in giudizio o per attuare misure di sicurezza. [16.3]

In questi casi eccezionali, la conservazione dei dati deve essere:

• Giustificata da una valida ragione legale o da una necessità del produttore. [16.3]
• Documentata in modo chiaro e trasparente. [16.3]

Verifica della Conformità del Produttore

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale garantisce al cliente la possibilità di verificare la conformità del produttore al Codice stesso e al GDPR. [17.1]

Diritto di Verifica del Cliente

L’Articolo 17.1 afferma che il cliente deve essere in grado di valutare se le attività di trattamento del produttore di software sono conformi agli obblighi previsti dal Codice di Condotta e dal GDPR. [17.1]

Per garantire questo diritto, il produttore di software si impegna a:

• Rispondere tempestivamente alle richieste del cliente volte a ottenere informazioni che dimostrino il rispetto degli obblighi assunti. [17.1]
• Mettere a disposizione del cliente tutte le informazioni necessarie per dimostrare la conformità alle disposizioni del GDPR. [17.1]
• Consentire lo svolgimento di verifiche da parte del cliente sul trattamento dei dati effettuato per l’erogazione dei servizi. [17.1]

Modalità di Verifica

Il cliente può richiedere informazioni e documenti al produttore di software per verificare la conformità al Codice di Condotta e al GDPR.

Inoltre, il cliente ha il diritto di effettuare verifiche, anche attraverso ispezioni, presso la sede del produttore di software o sui sistemi utilizzati per l’erogazione dei servizi.

Verifiche Indipendenti

Il produttore di software può decidere di affidare a auditor indipendenti la verifica dell’adeguatezza delle misure di sicurezza e protezione dei dati adottate. [17.2]

In questo caso, il cliente può esercitare il suo diritto di verifica attraverso l’esame dei report di audit. [17.2]

Tuttavia, i report di audit sono informazioni riservate del produttore di software e devono essere trattati con la dovuta riservatezza. [17.2]

Per essere validi, i report di audit devono:

• Essere eseguiti in conformità a standard di sicurezza riconosciuti, come le norme ISO/IEC 27001, 27701, 27017, 27018 o le linee guida OWASP. [17.2]
• Essere condotti da professionisti della sicurezza indipendenti e qualificati. [17.2]
• Essere documentati in un rapporto di audit che contenga una sintesi delle verifiche effettuate e dei risultati ottenuti. [17.2]

Audit Indipendenti per Dimostrare la Conformità

Il Codice di Condotta consente al produttore di software di avvalersi di audit indipendenti per dimostrare la propria conformità al Codice stesso e al GDPR. Questa possibilità è descritta nell’Articolo 17.2. [17.2]

Facoltà del Produttore

L’Articolo 17.2 stabilisce che il produttore di software può decidere di affidare a auditor indipendenti la verifica dell’adeguatezza delle misure di sicurezza e protezione dei dati adottate per i servizi erogati. [17.2]

Si tratta di una facoltà e non di un obbligo per il produttore.

Soddisfazione del Diritto di Verifica del Cliente

Nel caso in cui il produttore decida di ricorrere a audit indipendenti, il diritto di verifica del cliente può essere soddisfatto attraverso la messa a disposizione dei report di audit. [17.2]

In altre parole, il cliente può accettare di considerare i risultati degli audit indipendenti come prova della conformità del produttore al Codice di Condotta e al GDPR, senza dover effettuare ulteriori verifiche in proprio.

Riservatezza dei Report di Audit

È importante sottolineare che i report di audit costituiscono informazioni riservate del produttore di software. [17.2]

Il cliente è tenuto a trattarli con la dovuta riservatezza, evitando di divulgarli a terzi senza l’autorizzazione del produttore.

Conservazione del Rapporto di Audit

Il rapporto di audit completo deve essere conservato internamente dal produttore di software per un periodo non inferiore a 12 mesi precedenti la richiesta di verifica da parte del cliente o dell’Organismo di Monitoraggio. [17.2]

Vantaggi degli Audit Indipendenti

Il ricorso ad audit indipendenti per dimostrare la conformità al Codice di Condotta e al GDPR offre diversi vantaggi:

• Maggiore credibilità: i risultati degli audit indipendenti sono generalmente considerati più credibili rispetto alle autodichiarazioni del produttore.
• Minori oneri per il cliente: il cliente può evitare di dover effettuare verifiche complesse e dispendiose in proprio.
• Miglioramento continuo: gli audit indipendenti possono aiutare il produttore di software a identificare e correggere eventuali carenze nei propri sistemi di sicurezza e protezione dei dati.

Collaborazione con le Autorità Competenti

Il Codice di Condotta definisce le modalità di collaborazione del produttore di software con le autorità competenti in caso di richieste di informazioni, controlli o indagini. Le disposizioni rilevanti sono contenute nell’Articolo 18.

Richieste del Garante

L’Articolo 18.1 stabilisce che il produttore di software, in qualità di responsabile o sub-responsabile del trattamento, deve informare il cliente in merito a: [18.1]

• Ricezione di richieste di informazioni e documenti da parte del Garante. [18.1]
• Avvio di accertamenti e controlli da parte del Garante. [18.1]

Questa informazione è necessaria se le richieste del Garante hanno ad oggetto il trattamento dei dati personali connesso all’erogazione dei servizi al cliente. [18.1]

Il produttore di software può anche prestare ragionevole assistenza al cliente nel fornire le informazioni di cui è a conoscenza per i servizi e le attività di sua competenza. [18.1]

Indagini dell’Autorità Giudiziaria

L’Articolo 18.2 disciplina la collaborazione del produttore di software in caso di indagini, richieste di informazioni o verifiche ispettive avviate dall’Autorità giudiziaria o di polizia giudiziaria e tributaria. [18.2]

In particolare, il produttore di software deve astenersi dal informare il cliente se: [18.2]

• L’indagine comporta la comunicazione di dati personali trattati per conto del cliente. [18.2]
• Il produttore è obbligato per legge o per provvedimento dell’Autorità giudiziaria a garantire il segreto degli atti. [18.2]

Questa disposizione è volta a tutelare il segreto istruttorio e a non compromettere le indagini in corso.

Obbligo di Collaborazione

In generale, il Codice di Condotta sottolinea l’obbligo di collaborazione del produttore di software con le autorità competenti.

Il produttore deve fornire tempestivamente tutte le informazioni e i documenti richiesti, facilitando lo svolgimento delle verifiche e delle indagini.

L’Organismo di Monitoraggio (OdM) nel Codice di Condotta per il Software Gestionale

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale introduce un Organismo di Monitoraggio (OdM) con il compito di verificare il rispetto del Codice stesso da parte dei produttori di software aderenti. [19.1] L’OdM è accreditato dal Garante per la protezione dei dati personali ai sensi dell’articolo 41 del Regolamento (UE) 2016/679. [19.1, 21.1]

Composizione e Requisiti dell’OdM

L’OdM è un soggetto esterno all’organizzazione di Assosoftware, l’associazione italiana dei produttori di software gestionale che ha promosso il Codice di Condotta. [21.1]

È composto da tre componenti designati come segue: [21.1]

• Un componente designato dal consiglio generale di Assosoftware, su proposta dei produttori di software associati. [21.1]
• Un componente designato dagli organismi rappresentativi delle categorie dei clienti utilizzatori dei software gestionali. [21.1]
• Un componente designato dal CNCU (Consiglio Nazionale dei Consumatori e degli Utenti) insieme alle associazioni maggiormente rappresentative degli interessati a livello nazionale. [21.1]

I componenti dell’OdM devono possedere specifici requisiti per garantire la loro indipendenza, imparzialità e competenza: [21.1, 22]

• Onorabilità: non devono trovarsi in situazioni di ineleggibilità o decadenza previste dal Codice Civile, né aver riportato condanne per specifici reati.
• Indipendenza e imparzialità: non devono subire alcuna ingerenza da parte di Assosoftware, dei produttori aderenti o di altri soggetti riconducibili al settore dei software gestionali. Devono astenersi da qualsiasi attività in caso di conflitto di interessi.
• Competenza: devono avere una conoscenza approfondita ed esperienza in materia di protezione dei dati personali, attività di sviluppo dei software gestionali, sicurezza dei dati e sicurezza delle informazioni, e svolgimento di compiti di vigilanza e controllo.

L’incarico dei componenti dell’OdM ha una durata di cinque anni, non rinnovabile.

Compiti dell’OdM

I principali compiti dell’OdM sono: [19.1, 24, 25]

• Monitorare il rispetto del Codice di Condotta da parte dei produttori di software aderenti.
• Gestire i reclami presentati dagli interessati in merito a presunte violazioni del Codice di Condotta.

Monitoraggio del Rispetto del Codice di Condotta

L’OdM effettua il monitoraggio del rispetto del Codice di Condotta attraverso diverse attività, tra cui:

• Verifica della documentazione presentata dai produttori di software al momento dell’adesione al Codice, inclusi il questionario di autovalutazione e la dichiarazione di impegno.
• Ispezioni presso la sede dei produttori o in remoto.
• Analisi dei report di audit indipendenti eventualmente presentati dai produttori.

L’obiettivo principale dell’attività di monitoraggio è verificare che i produttori di software abbiano implementato le misure tecniche, organizzative e di sicurezza previste dal Codice di Condotta.

Trattazione dei Reclami degli Interessati

L’OdM ha il compito di gestire i reclami presentati dagli interessati che ritengono che i propri diritti siano stati lesi da trattamenti di dati personali effettuati da produttori aderenti al Codice di Condotta.

La procedura di reclamo prevede:

• Presentazione del reclamo all’OdM da parte dell’interessato.
• Notifica del reclamo al produttore di software coinvolto.
• Presentazione di informazioni e documentazioni da parte del produttore.
• Eventuale richiesta di chiarimenti o documenti da parte dell’OdM.
• Decisione dell’OdM sul reclamo.

Poteri dell’OdM

In caso di violazioni del Codice di Condotta, l’OdM può adottare diverse misure nei confronti del produttore di software, tra cui:

• Invito a modificare la condotta.
• Richiamo formale.
• Sospensione temporanea dall’adesione al Codice di Condotta.
• Revoca dell’adesione al Codice di Condotta.

Le decisioni di sospensione o revoca dell’adesione devono essere comunicate al Garante.

Finanziamento dell’OdM

Le attività dell’OdM sono finanziate dai produttori di software aderenti al Codice di Condotta, in base a quote stabilite in proporzione al fatturato annuale di ciascun aderente.

Funzioni dell’Organismo di Monitoraggio (OdM) nel Monitoraggio del Codice di Condotta

L’Articolo 19 del Codice di Condotta introduce l’Organismo di Monitoraggio (OdM) e ne definisce le funzioni in relazione al monitoraggio del rispetto del Codice stesso da parte dei produttori di software aderenti. L’OdM è un organo indipendente, accreditato dal Garante per la protezione dei dati personali, che ha il compito di verificare che i produttori di software gestionale rispettino gli impegni assunti con l’adesione al Codice.

Compiti di Monitoraggio dell’OdM

L’Articolo 24 specifica i compiti dell’OdM in materia di monitoraggio:

• Verifica del Rispetto delle Misure Tecniche, Organizzative e di Sicurezza: L’OdM si concentra principalmente sulla verifica dell’implementazione, da parte dei produttori di software, delle misure tecniche, organizzative e di sicurezza descritte negli Allegati A e B del Codice di Condotta. Queste misure sono volte a garantire la protezione dei dati personali trattati tramite il software gestionale.

• Verifica dell’Osservanza degli Altri Principi e Regole del Codice: Oltre alle misure di sicurezza, l’OdM controlla anche il rispetto di tutti gli altri principi, requisiti e regole stabiliti dal Codice di Condotta. Questo include, ad esempio, l’obbligo di stipulare un accordo sul trattamento dei dati personali con il cliente (Articolo 6), la corretta gestione degli incidenti di sicurezza (Articolo 12) e l’assistenza al cliente nell’esercizio dei diritti degli interessati (Articolo 14).

• Utilizzo di Standard Industriali: L’OdM può basare le proprie verifiche anche su criteri previsti da norme tecniche o standard industriali riconosciuti, se adottati dal produttore di software e considerati equivalenti alle misure del Codice.

Modalità di Monitoraggio

L’OdM dispone di diversi strumenti per svolgere la propria attività di monitoraggio:

• Verifica della Documentazione: L’OdM esamina la documentazione presentata dai produttori di software al momento dell’adesione al Codice, tra cui il questionario di autovalutazione e la dichiarazione di impegno. Questa analisi preliminare permette di valutare il livello di conformità iniziale del produttore e di pianificare le successive attività di verifica.

• Ispezioni: L’OdM può condurre ispezioni, sia in remoto che presso la sede del produttore, per accertare il rispetto del Codice. Le ispezioni possono riguardare l’infrastruttura tecnica, i processi di sviluppo del software, le procedure di sicurezza e la documentazione relativa al trattamento dei dati personali.

• Analisi dei Report di Audit: L’OdM può esaminare i report di audit indipendenti che i produttori di software hanno la facoltà di presentare per dimostrare la propria conformità (Articolo 17.2). [17.2, 25] L’OdM valuta l’indipendenza e la qualificazione degli auditor, la conformità degli audit agli standard di sicurezza riconosciuti e la completezza dei report.

Collaborazione dei Produttori di Software

I produttori di software aderenti al Codice di Condotta sono tenuti a collaborare con l’OdM nelle attività di monitoraggio:

• Accesso alle Informazioni: I produttori devono fornire all’OdM tutte le informazioni e i documenti necessari per lo svolgimento delle verifiche.
• Facilitazione delle Ispezioni: I produttori devono agevolare l’accesso dell’OdM ai propri sistemi informatici, alla documentazione e al personale.

Decisioni e Misure dell’OdM

Al termine delle attività di monitoraggio, l’OdM può adottare diverse misure nei confronti dei produttori di software, in base alla gravità, al numero e alla reiterazione delle violazioni del Codice eventualmente riscontrate:

• Invito a Modificare la Condotta: In caso di violazioni di lieve entità, l’OdM può invitare il produttore a modificare la propria condotta per conformarsi alle disposizioni del Codice.
• Richiamo Formale: Per violazioni più gravi, l’OdM può inviare un richiamo formale al produttore di software. Il richiamo ha lo scopo di richiamare il produttore al rispetto dei propri obblighi e di sollecitare l’adozione di misure correttive.
• Sospensione Temporanea dall’Adesione al Codice: Se le violazioni sono reiterate o particolarmente gravi, l’OdM può sospendere temporaneamente il produttore dall’adesione al Codice di Condotta. La sospensione ha l’obiettivo di sanzionare il produttore e di spingerlo ad adottare misure adeguate per ripristinare la conformità.
• Revoca dell’Adesione al Codice: Nei casi più gravi, l’OdM può revocare l’adesione del produttore al Codice di Condotta. La revoca è una misura estrema che viene adottata solo in caso di inosservanza persistente e grave del Codice.

Le decisioni di sospensione o revoca dell’adesione al Codice di Condotta devono essere comunicate al Garante per la protezione dei dati personali.

Pubblicazione delle Decisioni

L’OdM pubblica, in un’apposita sezione del proprio sito web, le decisioni che comportano la sospensione o la revoca dell’adesione di un produttore di software al Codice. Le decisioni vengono pubblicate in forma sintetica, previa oscuration dei dati personali eventualmente presenti, al fine di garantire la trasparenza dell’attività dell’OdM.

Relazioni al Garante

L’OdM invia periodicamente al Garante per la protezione dei dati personali un resoconto riassuntivo delle proprie attività, compresi i controlli effettuati, le procedure di reclamo gestite e le misure adottate nei confronti dei produttori di software.

Regolamento dell’OdM

Le procedure, le modalità e i tempi di svolgimento delle attività di monitoraggio e di verifica del rispetto del Codice di Condotta da parte dell’OdM sono definiti in un apposito regolamento. Il regolamento è adottato dall’OdM sulla base di uno schema predisposto da Assosoftware e allegato alla domanda di accreditamento presentata al Garante.

Presentazione della Domanda di Adesione al Codice di Condotta

L’Allegato E del Codice di Condotta illustra le modalità con cui i produttori di software gestionale possono presentare la domanda di adesione al Codice stesso. Possono aderire al Codice sia i produttori associati ad Assosoftware, sia quelli non associati, purché i software gestionali da loro prodotti soddisfino i requisiti previsti.

Procedura di Adesione

La procedura di adesione si articola nelle seguenti fasi:

1. Invio della Domanda: Il produttore invia la domanda di adesione all’ufficio di segreteria dell’Organismo di Monitoraggio (OdM) presso Assosoftware. La domanda deve essere redatta secondo la modulistica e le istruzioni disponibili sul sito web dell’OdM. Nella domanda, il produttore deve specificare il o i software gestionali per i quali intende aderire, utilizzando l’apposita scheda sintetica pubblicata sul sito web.
2. Documentazione Allegata: Alla domanda di adesione, il produttore deve allegare la seguente documentazione:
   • Modulistica: La modulistica compilata secondo le istruzioni fornite dall’OdM.
   • Questionario di Autovalutazione: Un questionario, compilato dal produttore secondo il modello fornito dall’OdM, per autovalutare la conformità del software gestionale ai requisiti del Codice di Condotta, in particolare alle misure previste dagli Allegati A e B.
   • Dichiarazione di Impegno: Una dichiarazione, redatta secondo il modello pubblicato sul sito web dell’OdM, con la quale il produttore si impegna a rispettare le regole stabilite dal Codice di Condotta.
   • Ulteriore Documentazione: L’OdM può richiedere al produttore di fornire ulteriore documentazione a supporto della domanda di adesione, come ad esempio la visura camerale aggiornata, l’ultimo bilancio approvato e certificazioni di settore.

1. Verifica da parte dell’OdM: L’OdM, entro i termini stabiliti dall’articolo 20.2 del Codice di Condotta, procede a verificare la completezza della documentazione presentata, le informazioni riportate nel questionario di autovalutazione, la dichiarazione di impegno e l’assenza di circostanze ostative all’adesione da parte del produttore richiedente.
2. Conferma dell’Adesione: Se la verifica ha esito positivo, l’OdM invia al produttore richiedente una comunicazione di conferma dell’adesione al Codice di Condotta, specificando il o i software gestionali per i quali l’adesione è stata approvata.
3. Pubblicazione dell’Elenco dei Produttori Aderenti: I dati del produttore aderente e dei relativi software gestionali vengono inseriti nell’elenco dei produttori aderenti al Codice, pubblicato sul sito web dell’OdM. L’OdM informa anche il Garante per la protezione dei dati personali, in modo che quest’ultimo possa aggiornare il registro di cui all’articolo 40, paragrafo 6, del Regolamento.

Diniego dell’Adesione

L’OdM può negare l’adesione al Codice di Condotta se la documentazione presentata dal produttore è incompleta, se il software gestionale non soddisfa i requisiti del Codice o se sussistono altre circostanze ostative. Il diniego deve essere motivato dall’OdM. Il produttore può presentare una nuova domanda di adesione non prima di un anno dal diniego, allegando una nota che illustri le misure adottate per superare le ragioni che avevano portato al diniego precedente.

Modifiche Rilevanti al Software

Se, dopo aver ottenuto l’adesione al Codice, il produttore apporta modifiche o variazioni rilevanti al software gestionale, deve darne tempestiva comunicazione all’OdM. Il produttore deve collaborare con l’OdM per fornire le informazioni e gli aggiornamenti necessari per consentire all’OdM di valutare se le modifiche apportate al software incidono sulla conformità al Codice di Condotta.

Il Ruolo dell’OdM nella Verifica delle Domande di Adesione al Codice di Condotta

L’Allegato E del Codice di Condotta descrive il processo di adesione per i produttori di software gestionale, evidenziando il ruolo centrale dell’Organismo di Monitoraggio (OdM) nella verifica delle domande.

L’OdM svolge una funzione di controllo cruciale per garantire che solo i produttori di software conformi ai requisiti del Codice di Condotta ottengano l’adesione.

Verifica della Documentazione e delle Informazioni

Al ricevimento di una domanda di adesione, l’OdM intraprende un processo di verifica che comprende:

• Controllo della Completezza: L’OdM si assicura che la domanda sia completa e che includa tutta la documentazione richiesta, come specificato nell’Allegato E. Questa documentazione include la modulistica compilata, il questionario di autovalutazione, la dichiarazione di impegno e qualsiasi altra informazione ritenuta necessaria.

• Esame del Questionario di Autovalutazione: L’OdM analizza attentamente il questionario di autovalutazione presentato dal produttore. Questo questionario, compilato secondo un modello fornito dall’OdM, richiede al produttore di valutare la conformità del proprio software gestionale ai requisiti del Codice, in particolare alle misure tecniche, organizzative e di sicurezza delineate negli Allegati A e B.

• Valutazione della Dichiarazione di Impegno: L’OdM esamina la dichiarazione di impegno presentata dal produttore. In questa dichiarazione, il produttore si impegna formalmente a rispettare le regole e gli obblighi stabiliti dal Codice di Condotta.

• Verifica di Circostanze Ostative: L’OdM si accerta dell’assenza di eventuali circostanze ostative all’adesione da parte del produttore richiedente. Queste circostanze potrebbero includere, ad esempio, precedenti violazioni della normativa sulla protezione dei dati personali o la mancanza di requisiti tecnici o organizzativi essenziali.

Tempi e Comunicazione

L’OdM è tenuto a completare la verifica della domanda di adesione entro i termini stabiliti dall’articolo 20.2 del Codice di Condotta.

• Conferma di Adesione: Se la verifica ha esito positivo, l’OdM invia al produttore una comunicazione formale di conferma dell’adesione. Questa comunicazione specifica il o i software gestionali per i quali l’adesione è stata approvata.
• Diniego di Adesione: Se la verifica non ha esito positivo, l’OdM è tenuto a comunicare al produttore il diniego motivato. Il produttore può presentare una nuova domanda di adesione dopo un anno, dimostrando di aver adottato misure per risolvere le criticità che avevano portato al diniego iniziale.

Pubblicazione e Aggiornamento del Registro

Dopo aver confermato l’adesione di un produttore di software, l’OdM aggiorna l’elenco pubblico dei produttori aderenti sul proprio sito web. Inoltre, l’OdM informa il Garante per la protezione dei dati personali, che a sua volta aggiorna il registro di cui all’articolo 40, paragrafo 6, del Regolamento.

In sintesi, l’OdM svolge un ruolo essenziale nel processo di adesione al Codice di Condotta, garantendo che i produttori di software gestionale soddisfino i requisiti di conformità e si impegnino a rispettare i principi di protezione dei dati personali.

Riesame e Modifica del Codice di Condotta

L’Articolo 21 del Codice di Condotta stabilisce che l’Associazione dei produttori di software (ASSOSOFTWARE) può proporre la revisione e la modifica del Codice di Condotta, tenendo conto di diversi fattori, tra cui:

• Novità Normative: Cambiamenti nella legislazione nazionale o europea in materia di protezione dei dati personali possono richiedere aggiornamenti al Codice di Condotta per garantire la conformità alle nuove disposizioni.
• Prassi Applicative del Regolamento: L’evoluzione delle interpretazioni e delle applicazioni pratiche del Regolamento Generale sulla Protezione dei Dati (GDPR) può necessitare di adattamenti del Codice per riflettere le migliori prassi e gli orientamenti emergenti.
• Progresso Tecnologico: L’innovazione tecnologica nel settore del software gestionale può introdurre nuovi rischi per la protezione dei dati o richiedere l’adozione di nuove misure di sicurezza. Il Codice di Condotta deve essere rivisto periodicamente per rimanere al passo con i progressi tecnologici e garantire un’adeguata tutela dei dati.

Processo di Riesame e Modifica

L’Associazione ASSOSOFTWARE, in collaborazione con l’Organismo di Monitoraggio (OdM), può proporre modifiche al Codice di Condotta seguendo questa procedura:

1. Identificazione delle Necessità di Modifica: L’Associazione, anche sulla base di indicazioni e suggerimenti ricevuti dall’OdM, identifica le aree del Codice di Condotta che necessitano di revisione o aggiornamento.
2. Elaborazione delle Proposte di Modifica: L’Associazione elabora le proposte di modifica al Codice di Condotta, tenendo conto dei fattori sopra menzionati.
3. Sottoposizione al Garante: Le proposte di modifica vengono sottoposte all’approvazione del Garante per la protezione dei dati personali, come previsto dall’articolo 40 del GDPR.

L’obiettivo di questo processo di riesame e modifica è garantire che il Codice di Condotta rimanga uno strumento efficace per promuovere la conformità al GDPR e la protezione dei dati personali nel settore del software gestionale.