Privacy, software già allineati al Gdpr - Quotidiano del Fisco del 17/07/2018

Fisco 17 07 18

di Fabio Giordano, comitato tecnico AssoSoftware

 

Dal 25 maggio scorso sono pienamente operative le nuove norme sulla privacy, contenute nel cosiddetto Gdpr (General data protection regulation). A dispetto del nuovo impianto normativo che nella sostanza poteva sembrare non così diverso da quello costituito dalle norme che lo avevano preceduto - in particolare la legge 675/1996 e il Dlgs 196/2003 -, gli effetti reali e pratici dovuti alla sua introduzione sono stati davvero importanti e di particolare efficacia.

 

Ad esempio, a chi fra gli operatori più attenti e smaliziati non era mai capitato in passato - facendo delle semplici ricerche con i motori di ricerca più utilizzati, per motivi che nulla avevano a che vedere con i risultati proposti come esito della ricerca - di “incappare” in rete in siti in cui erano depositati e accessibili file Excel non protetti e perfettamente leggibili, contenenti non solo dati personali di provati cittadini, ma talvolta anche dati sensibili, non opportunamente oscurati? O a chi, operando professionalmente in ambito informatico, non era mai capitato di veder inviare per e-mail - all’interno di strutture aziendali anche importanti – file Excel (o in generale database) contenenti dati anche clamorosamente sensibili, senza alcuna consapevolezza da parte degli operatori dei rischi che si stavano correndo?

Fortunatamente, dal 25 maggio 2018, ciò non succede praticamente più. Il Gdpr ha avuto questo grande effetto positivo: al di là dei tecnicismi giuridici - di cui ci siamo occupati in passato e che possiamo dare per conosciuti - ha reso assai più consapevole la generalità degli operatori (di tutti i settori) dei rischi connessi a una gestione “superficiale” e non professionale dei dati (contenuti in file Excel o in qualsiasi altro tipo di archivio) e ci ha condotti nella direzione di una più corretta cultura di gestione e di utilizzo delle informazioni personali, anche e soprattutto all’interno dei sistemi informativi.

Per quanto riguarda le software house, AssoSoftware, al fine di fornire il necessario supporto alle aziende associate, ha intrapreso in questi ultimi due anni un’intensa attività di studio e analisi della problematica - con il supporto dei maggiori esperti italiani e del Garante delle privacy - creando un gruppo di lavoro permanente, cui hanno partecipato gli specialisti del Comitato tecnico delegati dalle società di software associate.
Un risultato tangibile del lavoro svolto dal gruppo di lavoro AssoSoftware, sono le linee guida presenti nel documento «Gdpr Faq Checking» pubblicato sul sito istituzionale e disponibile per tutti gli utenti (clicca qui per consultarlo ).

Come si sono adeguate le software house
Moltissimi gli impatti del Gdpr per le software house, ovviamente diversificati in base al servizio erogato e alla tipologia di prodotto software offerto alla clientela, possiamo tuttavia semplificare riducendo l’analisi a due principali interventi:
•l’adeguamento delle procedure interne ed esterne, per poter fornire assistenza tecnica ai propri clienti, in modalità «Gdpr compliant»;
•la verifica e qualora necessario l’adeguamento delle profilazioni utente dei propri applicativi, per i sistemi erogati in modalità SaaS («in cloud»).

Partiamo dal primo punto, ossia la revisione delle procedure per poter erogare l’assistenza tecnica ai clienti. Coloro che hanno necessità di richiedere assistenza tecnica alle software house fornitrici dei propri gestionali, devono provvedere - a partire dal 25 maggio 2018 - alla redazione di nuovi moduli, la cui compilazione è da effettuarsi quasi sempre on-line, e devono accettare condizioni di utilizzo del servizio molto più dettagliate di quelle che venivano richieste in passato.

In particolare, nel caso in cui risulti necessario utilizzare sistemi di teleassistenza da parte degli operatori di front office, gli assistiti vengono informati - ad esempio - che, al fine di garantire una maggiore rapidità nella ricerca della soluzione, attraverso il sistema di teleassistenza possono essere acquisite in modo automatico informazioni relative al prodotto utilizzato e alla configurazione del sistema (quali l’applicativo installato e i relativi moduli in uso, i file di sistema dell’applicativo stesso, altri dati inerenti il sistema operativo e la configurazione di rete, dati dell’utente collegato e altre informazioni ancora) e che in caso di necessità è possibile che venga effettuato il trasferimento di una copia dell’archivio dell’applicativo per cui è stata richiesta l’attività di supporto.

Inoltre, poiché l’utilizzo del sistema di teleassistenza comporta che gli operatori di front office vedano il contenuto del monitor dell’assistito (il quale potrebbe mostrare informazioni e/o dati personali e/o di terzi, documenti aperti, immagini di sfondo del desktop riservate, ecc…), le nuove informative sulla privacy nella generalità dei casi forniscono all’assistito informazioni in tal senso e il suggerimento di chiudere tutte le applicazioni non inerenti al problema segnalato, prima di attivare il servizio.

Dopo aver fornito tali indicazioni, la software house con l’informativa potrebbe ancora comunicare:
•che non farà alcun utilizzo, né divulgherà eventuali dati personali visibili e/o ricavabili a seguito della richiesta di teleassistenza e/o dalla cattura video, se non per fornire l’assistenza tecnica necessaria a risolvere il problema segnalato;
•che le informazioni relative al sistema e le catture video acquisite verranno conservate per il tempo strettamente necessario a fornire l’assistenza richiesta e saranno distrutte a seguito della compiuta esecuzione dei servizi di assistenza.

Il completamento della procedura di richiesta di assistenza solitamente si conclude:
•con l’accettazione da parte dell’assistito che la software house, nonché i suoi dipendenti, collaboratori, appaltatori o consulenti, possano visualizzare tutte le informazioni e il contenuto video per fornire l’assistenza necessaria;
•con la dichiarazione da parte dell’assistito di disporre delle autorizzazioni necessarie a divulgare dati di terzi a qualsiasi titolo in suo possesso. Quest’ultimo passaggio è particolarmente importante in quanto va ricordato che, ad esempio nel caso di professionisti o aziende che operano in qualità fornitori servizi (ad esempio commercialisti, consulenti del lavoro, associazioni di categoria in ambito fiscale e paghe), essi sono solo responsabili del trattamento dei dati, in quanto i titolari del trattamento sono i lori clienti (ossia i clienti dei clienti delle software house).

In caso di mancata accettazione e/o di mancata dichiarazione di disporre delle autorizzazioni necessarie a divulgare dati di terzi, la software house non potrebbe prestare l’assistenza tecnica necessaria e risolvere il problema riscontrato.

Tendenzialmente, in questi primi due mesi, le prime conseguenze pratiche della nuova operatività sono state due.

■La prima, è stata un cambiamento delle modalità con cui viene prestata l’assistenza tecnica, improntata più nel rafforzamento dei tentativi da parte degli operatori di ricostruire la presunta anomalia segnalata dall’assistito, prima di ricorrere all’accesso agli archivi del cliente, fino al punto in cui ciò risulta possibile e produce risultati.

■La seconda, rilevata solo in rari casi, è stata una certa resistenza - da parte di qualche utente - a fornire l’accesso ai propri archivi. Se ciò in alcuni casi è sicuramente giustificato da esigenze reali di riservatezza, tuttavia occorre non arrivare agli eccessi, laddove un’esasperata ed eccessiva rigidità, potrebbe portare finanche alla paralisi dei propri sistemi, data l’impossibilità per l’assistenza tecnica di accedervi per risolvere quelle tipologie di problemi che non sono risolvibili senza l’accesso ai dati.

Per quanto riguarda – infine - il secondo punto, ossia la verifica e l’adeguamento delle profilazioni utente dei propri applicativi, per i sistemi erogati in modalità SaaS («in cloud»), in questo caso gli impatti sono stati molto diversi tra una procedura e l’altra, per cui per eventuali approfondimenti su specifiche problematiche occorre contattare la propria software house.

In ogni caso, ciò che è emerso in modo evidente e incontrovertibile, è la maggiore consapevolezza di tutti gli operatori, che hanno segnalato in modo davvero puntuale tutti gli eventuali punti critici rilevati nell’uso delle procedure, aiutando così gli analisti delle software house a individuare i problemi e a mettere in atto le relative soluzioni.

A oggi riteniamo che la stragrande maggioranza delle procedure informatiche gestionali sia, anche da questo punto di vista, già «Gdpr compliant» ancorché qualche piccolo aggiustamento potrebbe in qualche caso risultare ancora necessario.