Le linee guida Assosoftware sul nuovo Gdpr - Quotidiano Enti Locali & PA del 13/03/2018

EL 13 03 18

 

di Roberto Bellini (*) Rubrica a cura di Assosoftware

 

Mancano poco più di due mesi al 25 maggio 2018, dal quale sarà pienamente applicabile il nuovo Regolamento europeo per la privacy (GDPR, General Data Protection Regulation) e con esso i relativi obblighi in capo a imprese e oggetti pubblici.


Diciamo innanzitutto che il nuovo regolamento europeo, pur essendo particolarmente innovativo in alcuni ambiti e, in particolare, per i molti Paesi dell'Unione senza un proprio Codice Privacy, non stravolge invece l'impianto normativo di nazioni, Italia compresa, più avanzate nella regolamentazione della gestione dei dati personali.

In Italia normativa avanzata
Nel nostro Paese, infatti, la Privacy è styata materia affrontata fin già dal 1996 con la Legge 675 nella quale ha introdotto anche l'Autorità garante per la protezione dei datip ersonali. Si sono poi succeduti diversi cambiamenti e successivamente, è intervenuto più volte con norme e provvedimenti e, il 30 giugno 2003, con il Dlgs 196, ha istituito il “Codice per la Protezione dei Dati Personali” che dà un quadro ampio e articolato della regolamentazione vigente in materia di Privacy.
Possiamo quindi affermare che il nuovo Gdpr s’inserisce nel pannorama giuridico, quello italiano, già particolarmente maturo in materia di Privacy, modificando determinate norme e obblighi, ma senza sconvolgerne l'impianto.

Trattamento dei dati
Uno dei punti particolarmente innovativi del nuovo GDPR riguarda proprio il trattamento dei dati effettuato con sistemi informatici e molti articoli del provvedimento si concentrano su aspetti tecnici (come portabilità, crittografia, cancellazione dati) che hanno a che fare con i prodotti software utilizzati da aziende pubbliche e private.
A questo proposito viene dichiarato anche un nuovo approccio proattivo per la gestione del rischio e per la protezione dei dati personali basato sulla «responsabilizzazione» dei soggetti ad affrontare il problema privacy fin dall'inizio, anticipando e prevenendo eventuali conseguenze future, mettendo quindi in atto la cosiddetta «privacy by design e by default». Tali raccomandazioni, tradotte in linguaggio informatico, comportano un importante intervento nell’analisi e progettazione del software per affrontare la tematica privacy, in tutte le sue sfaccettature, fin dalla nascita degli applicativi gestionali.

Il gruppo che si occupa di «data protection»
Per presidiare questo importante settore, AssoSoftware, da circa un anno, ha creato al proprio interno un gruppo di lavoro (GdL) che si occupa di «data protection» e che ha il compito di definire linee guida e best practice a favore delle aziende associate e dell'intero mercato.
L'attività è svolta con periodici incontri tra le aziende associate, con l'ausilio di esperti di settore e con il confronto periodico con i rappresentanti dell’Autority Garante.
Il primo documento prodotto dal GdL, già pubblicato sul sito dell’associazione, riguarda una raccolta di domande e risposte (FAQ) sul nuovo GDPR che sarà di grande utilità per tutti i produttori di software per affrontare correttamente l'adeguamento dei propri applicativi e per rispondere nel migliore dei modi alle richieste provenienti dai propri clienti.
Il documento FAQ affronta diverse problematiche tecniche e procedurali di grande interesse, dando per ciascuna il punto di vista autorevole dell’associazione. Esaminiamo qui ora alcuni punti, mentre per un maggior approfondimento invitiamo il lettore a consultare sul sito AssoSoftware il documento integrale.

Registro dei trattamenti
Non ci sono al momento indicazioni precise per la compilazione e tenuta del Registro dei trattamenti, tuttavia il GdL ritiene che lo stesso possa essere ges tito in forma elettronica e modulare, rimandando a schede e archivi anagrafici separati con appositi riferimenti. Così anche la tipologia dei trattamenti si valuta che possa essere elencata in forma schematica per ciascun prodotto/servizio erogato dalla software house. Si ritiene inoltre che il Registro possa essere mantenuto sempre nella versione aggiornata, senza la necessità di storicizzare le variazioni intervenute nel tempo.
Sull’obbligo o meno per i produttori di software di provvedere alla redazione del Registro dei trattamenti, considerato l’articolo 30, c 5 del Gdpr, il GdL reputa che sarebbe opportuno procedere in tal senso qualora il Produttore sia anche Responsabile del Trattamento dei dati forniti dai propri clienti.

Responsabile del Trattamento dei Dati per prodotti «cloud» o «on premise»
Con il nuovo GDPR il soggetto che raccoglie ed elabora dati di terzi assume automaticamente il ruolo di Responsabile del trattamento, anche nel caso in cui i dati siano trasmessi per sola attività di assistenza, verifica o migrazione. Per tale motivo si ritiene che normalmente il produttore che eroga anche assistenza sui prodotti software da lui forniti sia da considerare Responsabile del trattamento a prescindere che i medesimi siano venduti nella modalità on premise (installati presso il cliente), ovvero in cloud su piattaforme del Produttore.

Servizi erogati dalle Software House e nomina DPO (Data Protection Officer)
Non è possibile dare indicazioni generali per l'obbligo o meno di provvedere alla nomina di un DPO all'interno della Software House; la cosa andrà valutata caso per caso a seconda del servizio/prodotto erogato e del trattamento dati effettuato. Tuttavia mentre nel caso di vendita e assistenza di soli prodotti “on premise” si può escludere a priori l'obbligo, nel caso di servizi erogati in SaaS Cloud, si ritiene che la cosa vada attentamente valutata e che sarebbe comunque consigliabile la nomina di un DPO.

Diritto all'oblio e cancellazione dei dati nei backup
Sul punto non ci sono particolari novità essendo la cancellazione dei dati già prevista dall'articolo 7, comma 3, lettetra b del Codice Privacy, quindi, qualora la stessa sia formulata in termini generali, si ritiene che andrebbe applicata anche ai backup. Tuttavia si reputa che debbano essere previste determinate deroghe qualora il processo di individuazione dei dati da cancellare dai backup sia particolarmente difficoltoso e/o oneroso e comporti costi significativi per il Titolare e per il Responsabile.
Il diritto alla portabilità dei dati riguarda unicamente i dati forniti dall’interessato e non tutti i dati derivati e risultati da elaborazioni del software (ad esempio elaborazione paghe/contabile/dichiarativa). Qualora sia richiesta, la portabilità potrà avvenire su formato standard e potrà essere pattuito un compenso per l'attività richiesta.
Questi sono solo alcuni dei punti affrontati dal documento e in ogni caso, vista la complessità della materia e la mancanza alla data di chiarimenti ufficiali, su molti aspetti si dovrà ritornare con ulteriori approfondimenti da parte del gruppo di lavoro associativo.

(*) Direttore generale AssoSoftware

Le precedenti uscite di Enti locali Software

SIOPE+: opportuna l'anticipazione della partenza a regime decisa dal piano di dispiegamento

Prorogata al 1° marzo la circolare Agid Cloud Pa: accolta la richiesta di AssoSoftware e Confindustria Sit

Anpr: una svolta significativa - Altri enti si aggiungono alla lista dei subentri di Laura Petroccia Consigliere di AssoSoftware con delega per il settore Pubblica Amministrazione e Enti Locali

Spid, da AssoSoftware una proposta per accelerare di Roberto Bellini, Direttore Generale AssoSoftware

2017Anagrafe nazionale: è ora di fare squadra di Roberto Bellini, Direttore generale Assosoftware

Arconet, una sinergia tra pubblico e privato che funziona di Laura Petroccia, Consigliere di Assosoftware con delega per il settore Pubblica Amministrazione e Enti Locali

Rottamazione cartelle Equitalia: anche il software dà una mano di Roberto Bellini, Direttore generale Assosoftware

PagoPa: attenzione ai progetti a metà che limitano il dialogo tra tutti i sistemi di Roberto Bellini, Direttore generale Assosoftware

Anagrafe nazionale della popolazione residente: Sogei e Assosoftware ripartono insieme di Roberto Bellini, Direttore generale Assosoftware

PagoPa un tassello fondamentale dell'ecosistema digitale di Monica Rollandi, Comitato tecnico AssoSoftware area enti locali

Trasmissione dei bilanci armonizzati alla Bdap: imboccata la strada giusta ma si può migliorare di Roberto Bellini, Direttore generale Assosoftware

Le Province della Sardegna spariscono, anzi si trasformano di Roberto Bellini, Direttore generale Assosoftware

Anpr e grandi progetti strategici dell'agenda digitale: un'occasione di collaborazione tra pubblico e privato di Roberto Bellini, Direttore generale Assosoftware

Contabilità armonizzata: una corsa contro il tempo per Comuni e aziende di Laura Petroccia, Consigliere di Assosoftware con delega per il settore Pubblica amministrazione e Enti locali

Gli enti alle prese con gli acquisti Ict in attesa del piano triennale di Roberto Bellini, Direttore generale Assosoftware

Pubblico impiego, flussi previdenziali e contributivi alla ricerca di una stabilità di Roberto Bellini, Direttore generale Assosoftware

Anusca e Assosoftware insieme per l'avviamento di Anpr di Roberto Bellini, Direttore generale Assosoftware

Siope+ e i pagamenti elettronici: un altro passo verso la digitalizzazionedella Padi Roberto Bellini, Direttore generale Assosoftware

Il principio «once only» filosofia o realtà? di Monica Rollandi Pa Digitale Spa, Comitato tecnico AssoSoftware

Collaborazione applicativa: così il driver per semplificare l'attività degli operatori delFisco di Roberto Bellini, Direttore generale Assosoftware

Il cittadino al centro del rapporto con la pubblica amministrazione: il contributo della digitalizzazione di Monica Rollandi Pa Digitale Spa, Comitato tecnico AssoSoftware

Misure minime di sicurezza Agid per la Pa: prossime scadenze e adempimenti di Roberto Obialero, Ads Automated Data Systems, Comitato tecnico AssoSoftware

Luci e ombre del Piano triennale per l'Ict nella pubblica amministrazione di Roberto Bellini, Direttore generale Assosoftware

Siope+: tutto pronto per la sperimentazione in partenza il 1° luglio di Laura Petroccia, ADS Automated Data Systems

Debito informativo: è possibile omogeneizzare i dati e le modalità di interscambio di Roberto Bellini, Direttore generale Assosoftware

Incontro con il «Team Digitale»: costruire insieme la nuova Pa del futuro di Roberto Bellini, Direttore generale Assosoftware

Protezione dei dati personali: a 10 mesi dall'avvio del Gdpr è ancora possibile adeguarsi con le informazioni giuste di Antonio Campodipietro, Ads Automated Data Systems - Comitato tecnico AssoSoftware

L'Agenda digitale della Pa: un primo bilancio dei progetti in corso di Roberto Bellini, Direttore generale Assosoftware

Regione Emilia Romagna: eccellenza informatica pubblica, quasi privata di Roberto Bellini, Direttore generale Assosoftware