02.12.2024 Icon

Approvato dal Garante privacy il Codice di condotta sullo sviluppo e produzione di software gestionali

Con la pubblicazione sulla Gazzetta Ufficiale n. 278 del 27 novembre 2024, il Garante per la protezione dei dati personali ha ufficializzato, con delibera del 17 ottobre 2024, l’approvazione definitiva del “Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale” (il “Codice”).

Tale strumento si configura come un tassello cruciale per l’elevazione degli standard di conformità normativa nel contesto dell’innovazione digitale. Il Codice trova il proprio fondamento nell’art. 40 del Regolamento (UE) 2016/679 (GDPR), che incoraggia l’elaborazione di codici di condotta per promuovere l’applicazione coerente delle disposizioni in materia di protezione dei dati personali, tenendo in considerazione le esigenze specifiche e peculiari di determinati settori e delle PMI.

Finalità e ambito applicativo

Il Codice disciplina le attività delle imprese che si occupano di progettazione, sviluppo, produzione e assistenza di software gestionali, ivi inclusi i servizi di manutenzione e aggiornamenti. La sua adozione risponde all’esigenza, sempre più sentita, di armonizzare le prassi di trattamento dei dati personali, ponendo particolare attenzione ai principi di privacy by design e privacy by default. L’intento principale è quello di assicurare che i prodotti e i servizi offerti rispettino standard elevati di protezione sin dalle fasi iniziali di sviluppo.

Le principali novità introdotte

Tra i principali aspetti introdotti dal Codice, si evidenziano:

  1. Integrazione della privacy by design e by default: come già accennato, le software house (SWH) sono tenute a implementare, sin dalla progettazione, misure tecniche e organizzative adeguate a garantire la conformità al GDPR, promuovendo un approccio preventivo e proattivo. A tal riguardo rileva l’allegato B al Codice inerente alle «Misure di sicurezza applicate dalle SWH per lo svolgimento dei servizi riguardanti i software gestionali impiegati nei contesti on premise ed in cloud».
  2. Rilevanza economica del software gestionale: la tipologia di software in questione viene considerata non un semplice asset tecnologico, bensì lo strumento principe per la modernizzazione dei processi produttivi delle PMI. Il Codice, pertanto, mira a promuovere l’innovazione tecnologica e al contempo garantire la protezione dei dati personali in gioco, rafforzando la fiducia degli utenti verso il mercato di settore.
  3. Definizione del ruolo delle SWH: il Codice chiarisce – e non potrebbe essere altrimenti – il ruolo delle SWH, le quali devono essere qualificate come responsabili o sub-responsabili del trattamento laddove svolgano attività tecniche connesse all’installazione, manutenzione e assistenza, sia in ambienti on-premise sia in cloud. A tal riguardo, viene introdotto un modello di accordo standard ex art. 28 GDPR (Allegato C al Codice) per disciplinare in modo chiaro i rapporti tra SWH e clienti, relativamente ai trattamenti effettuati e agli applicativi forniti.
  4. Istituzione dell’Organismo di Monitoraggio (OdM): un organismo accreditato dal Garante avrà il compito di verificare il rispetto del Codice, assicurando un controllo continuo sulla conformità delle prassi adottate.

Implicazioni operative

L’adesione al Codice si configura per le imprese produttrici di software gestionale come una leva strategica per accrescere l’accountability e consolidare la fiducia di utenti finali e clienti. Le risorse operative messe a disposizione nel Codice rappresentano strumenti di particolare utilità, soprattutto per le PMI, ovvero i clienti delle SWH, che spesso non dispongono di risorse interne dedicate alla compliance. Dal punto di vista degli utenti finali, il Codice garantisce una maggiore trasparenza e uniformità nella gestione dei dati personali, offrendo la certezza di collaborare con partner tecnologici che adottano misure di sicurezza validate e condivise.

Prospettive future

L’attuazione del Codice richiede alle SWH interessate di intraprendere una serie di adempimenti concreti, tra cui:

  • Analisi preliminare: effettuare una prima analisi rispetto ai requisiti del Codice, con particolare riferimento alle misure tecniche e organizzative elencate negli allegati A e B.
  • Revisione contrattuale: adeguare i contratti in essere agli schemi standard previsti dal Codice e dall’art. 28 GDPR.
  • Adeguamento delle procedure interne: aggiornare le procedure relative alla gestione degli incidenti di sicurezza e alle richieste degli interessati.
  • Formazione del personale: realizzare programmi di formazione specifici per il personale coinvolto, in linea con le prescrizioni del Codice.

Sebbene l’adesione sia volontaria e priva di termini perentori, essa rappresenterà progressivamente un criterio distintivo nei processi di selezione dei fornitori di software gestionali. Le imprese interessate sono quindi invitate ad avviare con tempestività il processo di adeguamento, così da essere pronte a presentare la domanda di adesione non appena l’Organismo di Monitoraggio sarà operativo.

Autore Gaia Anna Lenoci

Stage

Milano

g.lenoci@lascalaw.com

Desideri approfondire il tema Privacy ?

Contattaci subito