sicurezza

Software gestionali: guida operativa alla privacy by design



Indirizzo copiato

Gli Allegati A e B del Codice di Condotta forniscono un framework completo per valutare l’aderenza alle misure di privacy by design. Analisi dettagliata degli strumenti di controllo per software house

Pubblicato il 29 gen 2025

Stefano Posti

Responsabile della Protezione Dati e del Sistema di Gestione Qualità



software gestionali, online documentation system and business files storage

Gli allegati A e B al Codice di condotta approvato dal Garante per la protezione dati con il provvedimento n.618 del 17 ottobre 2024 contengono misure organizzative e tecniche per lo sviluppo di applicazioni gestionali in ottica privacy by design e by default, nonché per la gestione e supporto dei sistemi sia on premise che in cloud.

Rappresentano dunque un importante punto di riferimento per i rapporti fra i ruoli soggettivi del trattamento, ed i punti di controllo possono essere utilizzati in comode checklist per la prequalificazione o per il monitoraggio dei fornitori. Vediamo come.

Gli allegati A e B al Codice di condotta per le imprese di sviluppo e produzione di software gestionale

Si è già scritto molto sull’importanza di questo recente Codice di Condotta, promosso da AssoSoftware con l’intento di rafforzare gli obiettivi di fiducia fra committenti e fornitori digitali, in conformità all’Art. 40 del GDPR.

Una attenta lettura per una piena comprensione dei 22 articoli di questo Codice di condotta, approvato dall’Autorità Garante per la protezione dati personali con il Provvedimento del 17 ottobre 2024 – n. 10075998 – scritto tra l’altro in modo molto chiaro e semplice proprio per aiutare anche le piccole imprese di sviluppo e gestione di soluzioni gestionali, è essenziale per acquisire una piena consapevolezza dei ruoli soggettivi rispetto ai trattamenti di dati personali, e ciò non vale soltanto per le software house, ma anche per le Organizzazioni che selezionano tali società per acquistare soluzioni applicative ed i relativi di gestione e assistenza.

Se per l’adesione al Codice di Condotta è obbligatoria l’applicazione delle misure previste negli Allegati A e B, è ormai noto a tutti gli addetti ai lavori che tali misure costituiscono ormai un nuovo “stato dell’arte” – per cui le aspettative delle organizzazioni committenti non possono non tenerne conto, allo stesso modo in cui le Linee Guida ACN – ad esempio quelle sugli algoritmi di hashing delle passwords – vengono considerate una sorta di “misure minime di sicurezza”.

Vediamo dunque questi allegati A e B, che contengono tabelle con punti di controllo che possono avere interessanti risvolti applicativi, suddivise in :

  • Misure tecniche e organizzative applicate dalle SWH per garantire i requisiti di Privacy by Design e by Default nelle Attività di sviluppo dei Software Gestionali;
  • Misure di sicurezza applicate per lo svolgimento dei Servizi riguardanti i Software Gestionali impiegati nei contesti “on-premise”;
  • Misure di sicurezza applicate per lo svolgimento dei Servizi riguardanti i Software Gestionali impiegati nei contesti in cloud.

Ogni tabella contiene elenchi di misure suddivise per ambito, catalogazione, requisito di dettaglio, riferimenti a controlli di Standard ISO o alle Misure minime di sicurezza ICT per le pubbliche amministrazioni” emanate dall’AgID, e i parametri della proprietà della sicurezza delle informazioni (Riservatezza, Integrità, Disponibilità e, per i Servizi online, la Resilienza).

Come preparare delle semplici checklist

Perché preparare delle Checklist con queste 3 tabelle? La risposta è molto semplice: la checklist è forse lo strumento che meglio riesce a rendere il più oggettivo e standard possibile qualsiasi processo di controllo, verifica e audit.

Ad esempio una società di sviluppo software che volesse aderire al codice di condotta, dovrà valutare progressivamente il grado di applicazione delle misure inserite negli allegati A e B (con le diverse peculiarità dello svolgimento dei servizi). Inizialmente, è possibile che una tale misura non sia ancora implementata, ma poi, lavorando con processi di miglioramento, dovrà portare quel requisito ad essere pienamente soddisfatto.

Quindi una prima applicazione della Checklist è proprio il monitoraggio dei diversi requisiti e punti di controllo, fino ad una piena applicazione.

Il primo, più immediato strumento che possiamo utilizzare è un foglio di calcolo elettronico.

Le 3 Tabelle possono dunque essere create in 3 sheet, come nell’immagine rappresentata sotto.

Ovviamente un foglio di calcolo, con i filtri, consente anche di ricercare velocemente anche gli attributi delle Tabelle, che abbiamo visto essere ambito, catalogazione, requisiti di dettaglio, riferimenti e parametri.

Dobbiamo però aggiungere ulteriori attributi per valutare i gradi di applicazione, con punteggi; dobbiamo dunque stabilire dei criteri. Ad esempio, considerando ogni misura/requisito un punto di controllo con uno specifico grado di applicazione, nello sheet Criteri possiamo inserire dei valori come quelli esposti nell’immagine che segue.

Nell’esempio, viene utilizzata una semplice ratio per il grado di applicazione di una misura, con punteggi crescenti da 1 a 4, che va dall’inadeguato, al parzialmente adeguato, al quasi adeguato, fino allo stato di adeguato, verificato e ben applicato (oltre al valore 0 per il non applicabile).

Nelle tabelle, si specifica poi per ogni misura un grado di applicazione, che restituisce il relativo punteggio.

Si può sviluppare un software, per gestire una checklist, ma i fogli elettronici sono di semplice e rapida realizzazione, e sono davvero alla portata di tutti.

Nell’immagine che segue, un esempio applicato alla Tabella dell’Allegato A A al codice di condotta.

Come si può facilmente notare, le prime colonne non sono altro che il contenuto nelle tabelle (Allegati in formato grafico) al codice di condotta; la colonna RID, però, è stata suddivisa in 3 colonne per potere selezionare, e anche contare, i parametri R – I – D (nella seconda Tabella dell’Allegato B sui Servizi Cloud, va aggiunta la colonna Res per la resilienza).

Il valore da imputare per ogni punto di controllo è appunto il grado di applicazione – con il relativo score ottenibile ediante una semplice formula “CERCA.VERT” nella tabella dei criteri. Inoltre, c’è una colonna note e giustificazioni nella quale andrebbero inseriti i motivi per l’assegnazione del grado di applicazione, e altri appunti (es. programmazione di attività, redazione di procedure in corso, etc.).

In questo modo, si realizza facilmente una Gap analysis rispetto alla piena applicazione di tutte le misure previste.

Inoltre, viene da sé che per chiunque abbia un po’ di dimestichezza con i fogli di calcolo, grazie a qualche formula come “SOMMA” o “CONTA.SE” si possono inserire in fondo alcuni totali e percentuali, come evidenziato nell’immagine rappresentata di seguito.

Contando poi il numero di controlli che hanno come grado di applicazione 1 – inadeguato, 2, parzialmente adeguato, etc. in pochi minuti si possono impostare grafici di sintesi, come quello mostrato nell’immagine sotto.

Ovvio che la condizione a cui tendere è una piena applicazione delle misure, sicuramente necessaria per l’adesione al Codice di condotta, ma anche, a tendere, per superare verifiche da parte delle Organizzazioni committenti; si deve dunque ambire ad una torta completamente verde.

Chiaramente, le metriche ed i criteri possono essere impostati a proprio piacimento. Negli esempi rappresentati, si è scelto un quadro comune di indicazione del livello di applicazione di una misura. Anche l’indicazione dell’efficacia dei parametri RID e Resilienza può risultare molto utile, perché ricordiamo che un titolare del trattamento, nella propria valutazione dei rischi, deve sempre includere le valutazioni svolte dai propri fornitori, in caso di affidamento di attività all’esterno, e per la mitigazione degli scenari di sicurezza dei trattamenti l’efficacia dei controlli posti in essere, anche in termini RID e Resilienza, è importantissima.

Esempi di utilizzo per i fornitori tecnologici

Come già spiegato, utilizzare una checklist del genere, in fase di preparazione per l’adesione al codice di condotta promosso da AssoSoftware e approvato dall’Autorità Garante per la protezione dati personali, aiuta nel processo; sia per una prima Gap Analysis, sia per monitorare nel tempo i miglioramenti. Suggerirei però anche di creare un’ulteriore checklist basata sugli adempimenti previsti negli articoli del codice di condotta.

Ovviamente, quanto riportato nel grado di applicazione delle misure deve corrispondere a verità. La sicurezza non si risolve di certo con un grafico colorato in un foglio di calcolo; quanto scritto deve effettivamente rappresentare gli sforzi compiuti. Se quanto scritto è distante dalla realtà delle cose, un Audit dell’organismo di monitoraggio, o una verifica da parte di un’Organizzazione Cliente lo evidenzieranno chiaramente. Chi, come lo scrivente, esegue Audit GDPR già da tempo, entrando nel merito di aspetti anche tecnici, è ben preparato a scovare tali “distanze” fra quanto detto e quanto effettivamente applicato.

Esempi di utilizzo per la prequalificazione e la selezione dei fornitori da parte delle Organizzazioni pubbliche e private

Le Organizzazioni che si accingono invece ad acquisire soluzioni applicative gestionali da fornitori, ovvero a far gestire a fornitori i servizi di assistenza, sia on premise che in cloud, es. in modalità SaaS, potranno invece far compilare una checklist del genere in fase di selezione e prequalificazione, anche al fine di valutare le garanzie di affidabilità di cui all’Art. 28 p.1 GDPR – che – ricordiamo – è probabilmente più importante dell’Accordo protezione dati di cui all’Art. 28 p.3 del GDPR.

Inoltre, come giù spiegato, saggiare la capacità dell’impresa sviluppatrice o erogatrice di servizi in termini di efficacia delle misure a protezione del trattamento è fondamentale nella valutazione dei rischi.

A tal proposito, è bene rammentare che:

  1. L’individuazione degli scenari di rischio che possono ledere i rischi e le libertà è sempre a carico del titolare; come spiegato anche nel codice di condotta, gli aspetti relativi alla liceità, correttezza, trasparenza, pertinenza e adeguatezza, compatibilità della finalità, minimizzazione e limitazione della conservazione sono sempre in capo al Titolare del trattamento; nella progettazione di una soluzione applicativa, ad ogni modo il responsabile, al fine di ottenere la fiducia dei committenti, deve inserire dinamiche di privacy by design e by default per garantire la conformità al GDPR. Nell’esercizio, poi, sono più che altro gli aspetti correlati alla sicurezza del trattamento quelli che vedono coinvolto il responsabile, che appunto dovrebbe poter proteggere i dati come asset informativi (da qui il richiamo alle proprietà della sicurezza dell’informazione, ossia riservatezza, integrità, disponibilità, e resilienza).
  2. Una checklist del genere NON è uno strumento di valutazione dei rischi; può aiutare a comprendere l’efficacia della mitigazione, ma non si parte mai dai controlli per valutare i rischi.

Creare consapevolezza e fiducia

In uno scenario di progressiva iper-regolazione per limitare i rischi derivanti dai trattamenti di dati personali, il Codice di condotta promosso da AssoSoftware ed approvato dal Garante per la protezione dati personali si conferma uno strumento che, a prescindere dall’adesione, può creare consapevolezza e fiducia. Ben scritto, semplice e alla portata di tutti, prevede Allegati molto utili.

Abbiamo visto come riportare le tabelle in semplici fogli di calcolo, e impostare criteri di applicazione, può aiutare, anche in modo pressochè gratuito, sia le imprese di sviluppo e gestione servizi relativi a software gestionali, sia le Organizzazioni clienti.

Bibliografia

Provvedimento del 17 ottobre 2024 – Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale [10075998] dell’Autorità Garante per la protezione dati personali – https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10075998

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4