Software house e GDPR

Negli scorsi giorni l’Associazione nazionale di categoria delle software house, AssoSoftware ha pubblicato un interessante documento (che potete trovare, nel testo integrale, nella sezione del Blog dedicata alla documentazione utile, cliccando qui) per rispondere ad alcuni quesiti ricorrenti dei produttori di software in vista dell’entrata in vigore del GDPR il prossimo 25 maggio 2018.

Il documento è stato redatto dal Gruppo di lavoro di AssoSoftware (di seguito, “GdL”) che si occupa di data protection e privacy, in seguito a numerosi incontri con i rappresentanti delle principali software house associate, aiutati da esperti in materia di data protection e con il periodico confronto con il nostro Garante.

I principali temi trattati sono:

  1. registro dei trattamenti;
  2. ruoli e organizzazione;
  3. informativa e consenso;
  4. valutazione del rischio e valutazione di impatto;
  5. diritti dell’interessato;
  6. misure di sicurezza.

Vediamo di seguito quali sono gli aspetti più interessanti esaminati dal GdL in relazione a ciascuno di questi profili.

  1. Registro dei trattamenti

Secondo il GdL, le software house possono semplificare la struttura del proprio Registro dei trattamenti (in qualità di responsabili):

  • per quanto riguarda i nominativi dei Titolari del trattamento per conto dei quali effettuano i relativi trattamenti, mediante semplice rinvio – anche attraverso link diretto a schede o banche dati anagrafiche dei clienti – ai relativi prodotti o servizi acquistati;
  • per quanto riguarda gli altri elementi previsti nel Registro, mediante semplice indicazione delle categorie di trattamenti effettuati dalla software house in relazione a ciascun prodotto o servizio erogato, nonché attraverso l’indicazione di eventuali trasferimenti all’estero dei dati e, infine, attraverso una descrizione generale delle misure di sicurezza adottate.

Questa semplificazione si rende inevitabile in considerazione del fatto che le software house possono svolgere il ruolo di responsabili del trattamento per moltissimi titolari e diverrebbe, dunque, impossibile gestire il Registro tenendo conto di ogni tipologia di trattamento svolto per ciascun cliente.

Quando, invece, la software house agisce come sub-responsabile (pensiamo ad uno studio professionale che usa i prodotti della software house per i propri clienti finali) – pur in assenza di un coordinamento dell’art. 28 con l’art. 30 GDPR – viene consigliato che “nel Registro dei trattamenti tenuto da una software house quale ulteriore responsabile, sia indicato il solo nominativo del cliente (diretto) quale responsabile con cui intercorre il contratto di servizi”.

L’alternativa, consistente nel registrare i nominativi del cliente finale del responsabile, risulterebbe impraticabile dato che non sussiste alcun rapporto diretto tra i due soggetti (sub-responsabile/software house e titolare del trattamento/cliente finale) a livello contrattuale .

2. Ruolo e organizzazione

Sia in caso di erogazione di servizi “on premise” sia tramite piattaforma Saas o cloud, la software house riveste sempre il ruolo di responsabile del trattamento.

In particolare:

  1. nella modalità “on premise, la software house è sempre responsabile del trattamento quando svolge anche attività di assistenza e manutenzione con effettuazione, anche solo per scopi tecnici, di operazioni di trattamento di dati personali per conto del cliente. Il GdL suggerisce, in questi casi, di prevedere nel contratto che i vincoli e le responsabilità della software house siano circoscritti alle sole attività strettamente inerenti detto servizio;
  2. nella modalità Saas o cloud, la software house è mera esecutrice della volontà del Titolare del trattamento perché non può utilizzare i dati personali del cliente per proprie finalità autonome.

Per quanto riguarda, poi, l’indicazione dei propri subfornitori, viene ritenuta ammissibile dal GdL la semplice elencazione dei loro nominativi sul sito web, avendo, però, cura di inviare ai clienti almeno una comunicazione in caso di aggiornamento dell’elenco o quando vengono scelti fornitori localizzati al di fuori del territorio UE (in questo caso, indicando specificamente anche in quale Paese per consentire la verifica di adeguatezza).

In ogni caso, le software house dovranno sottoporre all’accettazione di tutti i clienti le nuove clausole contrattuali scaturenti dalle modifiche imposte dalle nuove norme del GDPR e ciò potrà avvenire, secondo il GdL, anche tramite modalità semplificate on-line, secondo lo schema contrattuale point & click e registrazione dei log di accettazione del cliente.

Sono, tuttavia, un po’ scettico sulla possibilità per le software house di utilizzare la modalità point & click in ogni situazione, dato che, come ho già scritto in un mio precedente articolo (“Contratti point & click che trovate qui), questa tipologia contrattuale è assai fragile in relazione alle c.d. clausole vessatorie previste dall’art. 1341 c.c..

3. Informativa e consenso

Il GdL invita i propri associati a redigere privacy policy agevolmente individuabili nei rispettivi siti web, che abbiano le seguenti caratteristiche:

  • siano chiare e concise;
  • prevedano la manifestazione del consenso mediante un’azione positiva dell’utente (anche tramite modalità point & click);
  • individuino chiaramente la base giuridica del trattamento, che sarà, di norma, o il contratto in essere con il cliente o l’adempimento di un obbligo di legge e, in quest’ultimo caso, dovrà essere specificato anche l’ambito normativo di riferimento.

4. Valutazione del rischio e valutazione di impatto (DPIA)

Il GdL suggerisce alle software house di svolgere sempre la valutazione del rischio finalizzata ad individuare la rischiosità o meno di determinati trattamenti di dati, quale prassi virtuosa utile in ogni caso, soprattutto alla luce del principio di responsabilizzazione di cui all’art. 32 GDPR.

Per quanto riguarda, invece, la necessità di effettuare un’apposita valutazione di impatto (DPIA) nel caso in cui vi siano “rischi elevati”, secondo il GdL, le software house potranno, in relazione agli stessi servizi erogati a più clienti, effettuare un’unica DPIA per valutare più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi.

5. Diritti dell’interessato

Considerato che il Titolare del trattamento deve dare riscontro all’interessato in ordine ai dati in suo possesso in modo gratuito, se il Titolare chiede assistenza alla software house per supportarlo nella fase di riposta all’utente, quest’ultima potrà pattuire, a livello contrattuale, un compenso ad hoc per tale prestazione.

In relazione al diritto alla cancellazione, viene, invece, segnalato che, dato il modo in cui sono realizzati attualmente alcuni backup (salvataggio per immagini di dischi e non per singoli file), in alcune situazioni non sarà possibile, per motivi meramente tecnici, prevedere una cancellazione puntuale di un singolo dato personale contenuto in una specifica cartella.

6. Misure di sicurezza

Il GdL conferma che il tracciamento degli accessi ai sistemi o delle operazioni effettuate dagli incaricati o utenti è da sempre considerato una preventiva e idonea misura di sicurezza.

Considerati i costi di una misura di log management di qualità, la valutazione di opportunità di adottare una siffatta misura deve essere contemperato – in armonia con quanto previsto in termini generali dall’art. 32 GDPR – con l’effettivo livello di rischio dei trattamenti.

Deve, comunque, tenersi presente che il tracciamento dei log deve avvenire con precise cautele per evitare di effettuare un illecito monitoraggio a distanza dei dipendenti e, quindi, potrà essere adottato solo dopo avere attentamente definito i tempi di conservazione dei log, le concrete modalità di controllo ed i soggetti che possono accedere ai dati.

Per ogni ulteriore approfondimento, vi rimando alla sezione del Blog dedicata alla documentazione utile, dove potete trovare il documento integrale di Assosoftware da poco pubblicato.

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business, Tecnologia per il business e contrassegnata con , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!