Il nuovo Codice di Condotta dei produttori di software rappresenta un pilastro per garantire che i software gestionali siano progettati, sviluppati, distribuiti e supportati con un approccio fondato sui principi di privacy by design e by default.
Il binomio (ormai inscindibile) tra tecnologia e conformità cui mira il Codice, assicura fiducia, qualità e competitività, soprattutto alle PMI che spesso mancano di risorse interne per governare compiutamente la compliance dei propri prodotti.
L’adesione da parte dei produttori di software (che avviene, si badi bene, per singolo prodotto), pertanto, non solo porta maggiore consapevolezza e conformità, ma anche una semplificazione degli adempimenti per le PMI e più ampie garanzie per gli interessati.
Indice degli argomenti
“Sequenziamento” delle attività del produttore del software
Nel mondo digitale contemporaneo, la protezione dei dati personali – come noto – si pone al centro delle attività dei produttori del software, i quali hanno un ruolo cardine nella progettazione e realizzazione di software conformi.
Con l’approvazione del Codice di Condotta per lo sviluppo e la produzione di software gestionali da parte del Garante per la protezione dei dati personali (provvedimento n. 618 del 17 ottobre 2024), si inaugura un nuovo paradigma normativo e operativo: per la prima volta un intero settore industriale si dota di un insieme codificato di regole per garantire la conformità al Regolamento (UE) 2016/679 (GDPR).
Con il presente contributo non si intende ripercorrere pedissequamente l’intera struttura del Codice – attività già efficacemente condotta da molti professionisti della materia – quanto piuttosto porre l’accento su quelle che sono le effettive peculiarità del nuovo plesso normativo.
In particolare, il pregio del nuovo Codice si rileva in un’opera di “sequenziamento” delle attività svolte dai produttori del software, che consente di indagare più compiutamente il DNA delle operazioni e dei necessari presidi di conformità.
Così come la ricerca scientifica si è, nel tempo, evoluta grazie a tecnologie che hanno consentito di “sequenziare” il DNA con l’obiettivo di studiarne ciascun “frammento” per contribuire ad una medicina “personalizzata”, allo stesso modo il Codice di Condotta, con evidente e apprezzabile sforzo rispetto alle prescrizioni del GDPR, ha inteso segmentare le attività dei produttori del software, entrando nel merito di ogni singola sequenza di DNA del software. Ciò ha consentito di suddividerne il “codice genetico” in segmenti funzionali e normativi che definiscono la struttura, il comportamento e le interazioni applicative in un ecosistema regolato.
Ne costituisce immediata evidenza la declinazione puntuale di tutte le misure di progettazione e di sicurezza contenute negli Allegati A e B, che, insieme all’intera struttura del Codice, consentono di tripartire le attività del produttore a seconda dei ruoli in:
- Produttore in quanto tale nella fase di design;
- Produttore in qualità di Responsabile del trattamento;
- Produttore in quelità di Titolare del trattamento.
Responsabilità del produttore nella fase di progettazione
La prima sequenza riguarda la fase di progettazione. Qui il produttore è chiamato a integrare nel software, sin dalla sua ideazione, i principi della privacy by design e by default.
In particolare, il Codice attribuisce al produttore importanti responsabilità nella progettazione, che, come noto, è un’attività antecedente a qualsiasi trattamento. Un segmento del processo– e qui risiede la vera novità del Codice – la cui responsabilità è attribuita (dal GDPR) in via esclusiva al Titolare del trattamento.
Va rilevato, in tal senso, che il Considerando 78 già prevedeva una sorta di “incoraggiamento” ai produttori circa i principi di protezione dei dati personali nello sviluppo di prodotti, servizi e applicazioni, tuttavia il Codice di Condotta trasforma quella che era una “moral suasion” in un obbligo effettivo: un prodotto, per poter essere considerato conforme e quindi aderire al Codice, deve possedere già – by design – tutte le caratteristiche declinate nell’Allegato A.
Il Codice ha, dunque, l’enorme pregio di aver identificato una serie di misure di progettazione conforme, indirizzandole non già al Titolare del trattamento, ma a chi produce, sviluppa, scrive righe di codice, ovvero un soggetto che non è neanche necessariamente parte del trattamento, in quanto SW house e fornitore in un momento temporale in cui un trattamento ancora non c’è.
Di fatto, cristallizzare queste misure nello sviluppo del SW, indicando ai produttori le corrette misure di progettazione, assicura un vantaggio competitivo proprio a quel produttore che decida di aderire al Codice e, al contempo, fornisce ai clienti Titolari del trattamento una rassicurazione sul processo di “disegno” della soluzione acquistata, senza dimenticare che il vero beneficio si riflette sugli interessati e sui loro diritti e libertà fondamentali.
Il produttore come responsabile del trattamento dati
La naturale fase conseguenziale al processo di disegno e sviluppo di un software è la sua messa in commercio con i relativi servizi offerti. La software house ricopre il ruolo di responsabile del trattamento nei confronti dei propri clienti, naturale controparte in qualità di titolare del trattamento, per tutte quelle attività di trattamento svolte in relazione ai dati personali che confluiscono e navigano nel software.
Il Codice di Condotta supporta, innanzitutto, le parti interessate predisponendo, all’Allegato C, uno schema di accordo sul trattamento dei dati personali ai sensi dell’articolo 28 del GDPR, che può essere sottoscritto da entrambe. Lo schema di accordo, essendo stato anch’esso approvato dal Garante Privacy, si pone come utile strumento di semplificazione in sede di negoziazione tra le parti, potendosi considerare uno strumento negoziale neutro con un’allocazione delle obbligazioni in modo chiaro e bilanciato, sottoscrivibile anche in forma elettronica. Si segnala l’articolo 6 del Codice laddove lo stesso lascia aperta la possibilità per il produttore di Software di proporre il proprio schema di accordo ex. Art.28 GDPR qualora i servizi siano erogati ad un elevato numero di clienti, purché contenga tutti gli elementi di cui all’art.28(3) GDPR e condizioni contrattuali uniformi, nonché l’indicazione delle misure tecniche ed organizzative garantite.
Il Codice presenta, inoltre, quale elemento chiave, la regolazione di tutta la parte dei servizi attuati dalla software house quali installazione, messa in esercizio, assistenza, manutenzione, gestione ed aggiornamento del Software. In tal modo, è garantita una regolamentazione dal punto di vista data protection tout court, di tutte le attività realizzate dalla Software house che coinvolgono i dati personali dei propri clienti. A tal proposito, analizzando la parte regolatoria del Codice, l’articolo 4 assume notevole rilevanza nel porre chiarezza sulle attività per cui una Software house riveste il ruolo di responsabile del trattamento, con la differenza tra Software on premise e Software on cloud.
Nel primo caso, infatti, la Software house è responsabile del trattamento per le attività di installazione, assistenza e manutenzione che possono comportare un trattamento di dati personali quali ad esempio la migrazione dei dati finalizzata all’installazione e collaudo del software, attività di assistenza ed aggiornamento del Software con possibile accesso da remoto ai dati del cliente. Appare opportuno, infine, ribadire la differenziazione in termini di responsabilità in relazione alla infrastruttura nel caso di soluzioni on cloud e on premise.
Resta fermo che nei contesti on premise le attività e gli obblighi del produttore quale responsabile del trattamento non si estendono alle attività di gestione e manutenzione dell’infrastruttura su cui è installato il Software, la cui responsabilità resta in capo al cliente. Restano, dunque, escluse dalla responsabilità della Software house attività quali salvataggio e ripristino dei dati personali così come le attività necessarie alla protezione della sicurezza logica e fisica dell’infrastruttura stessa. L’articolo è un interessante elemento chiarificatore, nonché di semplificazione a parere di chi scrive, in sede di negoziazione e definizione della qualifica privacy delle parti, prevenendo eventuali dubbi su quest’ultima.
Elementi di semplificazione ulteriori si ritrovano in relazione alle verifiche in eligendo ed in vigilando. Come è noto, ai sensi dell’art. 28(1) GDPR è necessario, da parte del titolare del trattamento, condurre una opportuna due diligence sul fornitore per verificarne l’adeguatezza in termini di misure di sicurezza tecniche ed organizzative. Tale attività tendenzialmente comporta un costo in termini di tempo e di risorse dedicate. Così come anche ribadito nelle premesse dell’Allegato C al paragrafo 3, la Software house, aderendo al Codice, dichiara di mettere in atto le misure di sicurezza tecniche ed organizzative adeguate al fine di garantire che le attività di trattamento siano effettuate nel rispetto della normativa data protection applicabile. Le misure di sicurezza tecniche ed organizzative sono anch’esse previste nei dedicati allegati del Codice. L’adesione al Codice, dunque, apporta dei benefici per entrambe le parti in termini di risparmio (di tempo e di costi) in relazione alle obbligatorie verifiche nella fase di “selezione” del fornitore. Non distogliendo l’attenzione dal tema verifiche e controlli, questi ultimi permangono come obbligazioni in capo al titolare del trattamento anche in costanza del rapporto contrattuale. La Software house è supportata dalle previsioni del Codice in tal senso attraverso tre elementi:
- l’adesione al Codice porta con sé la necessaria implementazione delle misure di sicurezza tecniche ed organizzative previste negli allegati;
- è possibile soddisfare la richiesta di attività di audit del titolare attraverso la messa a disposizione e la produzione di documentazione idonea (i.e., audit documentale);
- anche l’Organismo di Monitoraggio può avviare controlli e verifiche sulla Software house aderente al Codice.
Tali elementi sottintendono ulteriori benefici per le parti interessate in relazione alle attività di audit, comportando risparmi in termini di costo e tempo, nonché di risorse dedicate.
Qualifica di titolare del trattamento per il produttore
Se la qualifica privacy del produttore di Software come responsabile del trattamento risulta quantomeno lineare in relazione alle attività di trattamento dei dati personali condotte per conto del proprio cliente, talvolta in negoziazione appare più tortuosa la definizione del ruolo dello stesso per le attività per il quale si qualifica come titolare del trattamento.
Il Codice considera anche tale aspetto nella sua parte regolatoria, in particolare all’articolo 8. Il produttore di Software agisce come titolare del trattamento in relazione ai dati personali del proprio cliente acquisiti per lo svolgimento delle proprie attività amministrative, contabili, organizzative e tecniche correlate o strumentali alla gestione del rapporto contrattuale con lo stesso quali ad esempio per la definizione e sottoscrizione del contratto, per la gestione degli accessi ed uso del software, per assistenza ed attività di help-desk a supporto degli utenti del cliente o semplicemente per la fatturazione dei servizi. Tali attività e relative finalità perseguite tramite le stesse sono proprie della Software house in qualità di titolare (determinando mezzi e finalità del trattamento) e per tale motivo sarà tenuto al rispetto delle obbligazioni derivanti dal GDPR ad integrazione degli obblighi direttamente spettanti quali responsabile del trattamento.
L’articolo 8 al paragrafo 3 prevede una semplificazione in relazione all’obbligazione di resa dell’informativa agli interessati. Quest’ultima, infatti, può essere fornita dal produttore del Software al proprio cliente e ai relativi utenti finali in fase di sottoscrizione di contratto, ed anche in forma elettronica, attraverso la comunicazione di informazioni essenziali e sintetiche precedentemente all’accesso od utilizzo del software che possono poi rinviare ad una informativa di secondo livello più estesa consultabile sul sito internet della software house stessa.
Utilizzo dei dati per interessi legittimi e accountability
I dati personali di cui sopra (ed in particolare quelli raccolti attraverso l’accesso e l’uso del software e relative funzionalità), acquisiti dal produttore di Software come titolare, possono inoltre essere trattati dallo stesso (in forma aggregata e attraverso il calcolo di opportune metriche ed indicatori) per il perseguimento dei propri interessi legittimi correlati a finalità statistiche, di analisi, di studio e ricerca volte a migliorare la sicurezza, le prestazioni e le funzionalità dei medesimi software e dei relativi servizi anche a beneficio degli stessi clienti finali. Opportune tecniche di pseudonimizzazione e cifratura dei dati dovranno essere adottate dalla Software house per limitare la diretta riconducibilità delle informazioni agli interessati.
Il Codice si presenta, anche in relazione a tale “segmento”, come un utile strumento di accountability, aiutando le diverse organizzazioni del settore interessato a conformarsi in modo efficiente al GDPR, garantendo una maggiore trasparenza nei confronti delle parti con un conseguenziale incremento di fiducia. La disciplina ab origine nella sua parte regolatoria di tematiche talvolta ostiche in sede di negoziazioni, quale ad esempio la qualifica delle parti in relazione alle diverse attività di trattamento dei dati personali realizzate, porta elementi di certezza e di chiarezza vantaggiosi per tutte le parti interessate.
Il Codice di Condotta per i software gestionali si propone come una vera e propria mappa genetica della responsabilità digitale. Ogni sequenza identifica un ruolo, ogni ruolo implica azioni specifiche, ogni azione contribuisce a costruire un ecosistema digitale più sicuro, trasparente e affidabile. Per i produttori di software, aderire a questo Codice non significa solo rispettare prescrizioni normative, ma anche assumersi un impegno etico verso utenti e società: quello di disegnare, costruire e gestire strumenti digitali che mettano davvero la persona al centro, a partire dai suoi dati personali.
Così facendo, si garantisce altresì la realizzazione di software con un “genoma” robusto, in grado di resistere ai rischi, soddisfare la compliance e diventare un asset strategico per l’intero sistema Paese.
Infine, in un panorama normativo complesso quale quello odierno (si pensi alle nuove regolamentazioni europee quali l’AI Act o il Data Act) non si può che guardare positivamente ad iniziative quali il Codice in oggetto, che aiutano concretamente le Software house ed i loro clienti nell’implementazione dei presidi di conformità.
