di Roberto Bellini (*) Rubrica a cura di Assosoftware
Mancano poco più di due mesi al 25 maggio 2018, dal quale sarà pienamente applicabile il nuovo Regolamento europeo per la privacy (GDPR, General Data Protection Regulation) e con esso i relativi obblighi in capo a imprese e oggetti pubblici.
Diciamo innanzitutto che il nuovo regolamento europeo, pur essendo particolarmente innovativo in alcuni ambiti e, in particolare, per i molti Paesi dell’Unione senza un proprio Codice Privacy, non stravolge invece l’impianto normativo di nazioni, Italia compresa, più avanzate nella regolamentazione della gestione dei dati personali.
In Italia normativa avanzata
Nel nostro Paese, infatti, la Privacy è styata materia affrontata fin già dal 1996 con la Legge 675 nella quale ha introdotto anche l’Autorità garante per la protezione dei datip ersonali. Si sono poi succeduti diversi cambiamenti e successivamente, è intervenuto più volte con norme e provvedimenti e, il 30 giugno 2003, con il Dlgs 196, ha istituito il “Codice per la Protezione dei Dati Personali” che dà un quadro ampio e articolato della regolamentazione vigente in materia di Privacy.
Possiamo quindi affermare che il nuovo Gdpr s’inserisce nel pannorama giuridico, quello italiano, già particolarmente maturo in materia di Privacy, modificando determinate norme e obblighi, ma senza sconvolgerne l’impianto.
Trattamento dei dati
Uno dei punti particolarmente innovativi del nuovo GDPR riguarda proprio il trattamento dei dati effettuato con sistemi informatici e molti articoli del provvedimento si concentrano su aspetti tecnici (come portabilità, crittografia, cancellazione dati) che hanno a che fare con i prodotti software utilizzati da aziende pubbliche e private.
A questo proposito viene dichiarato anche un nuovo approccio proattivo per la gestione del rischio e per la protezione dei dati personali basato sulla «responsabilizzazione» dei soggetti ad affrontare il problema privacy fin dall’inizio, anticipando e prevenendo eventuali conseguenze future, mettendo quindi in atto la cosiddetta «privacy by design e by default». Tali raccomandazioni, tradotte in linguaggio informatico, comportano un importante intervento nell’analisi e progettazione del software per affrontare la tematica privacy, in tutte le sue sfaccettature, fin dalla nascita degli applicativi gestionali.
Il gruppo che si occupa di «data protection»
Per presidiare questo importante settore, AssoSoftware, da circa un anno, ha creato al proprio interno un gruppo di lavoro (GdL) che si occupa di «data protection» e che ha il compito di definire linee guida e best practice a favore delle aziende associate e dell’intero mercato.
L’attività è svolta con periodici incontri tra le aziende associate, con l’ausilio di esperti di settore e con il confronto periodico con i rappresentanti dell’Autority Garante.
Il primo documento prodotto dal GdL, già pubblicato sul sito dell’associazione, riguarda una raccolta di domande e risposte (FAQ) sul nuovo GDPR che sarà di grande utilità per tutti i produttori di software per affrontare correttamente l’adeguamento dei propri applicativi e per rispondere nel migliore dei modi alle richieste provenienti dai propri clienti.
Il documento FAQ affronta diverse problematiche tecniche e procedurali di grande interesse, dando per ciascuna il punto di vista autorevole dell’associazione. Esaminiamo qui ora alcuni punti, mentre per un maggior approfondimento invitiamo il lettore a consultare sul sito AssoSoftware il documento integrale.
Registro dei trattamenti
Non ci sono al momento indicazioni precise per la compilazione e tenuta del Registro dei trattamenti, tuttavia il GdL ritiene che lo stesso possa essere ges tito in forma elettronica e modulare, rimandando a schede e archivi anagrafici separati con appositi riferimenti. Così anche la tipologia dei trattamenti si valuta che possa essere elencata in forma schematica per ciascun prodotto/servizio erogato dalla software house. Si ritiene inoltre che il Registro possa essere mantenuto sempre nella versione aggiornata, senza la necessità di storicizzare le variazioni intervenute nel tempo.
Sull’obbligo o meno per i produttori di software di provvedere alla redazione del Registro dei trattamenti, considerato l’articolo 30, c 5 del Gdpr, il GdL reputa che sarebbe opportuno procedere in tal senso qualora il Produttore sia anche Responsabile del Trattamento dei dati forniti dai propri clienti.
Responsabile del Trattamento dei Dati per prodotti «cloud» o «on premise»
Con il nuovo GDPR il soggetto che raccoglie ed elabora dati di terzi assume automaticamente il ruolo di Responsabile del trattamento, anche nel caso in cui i dati siano trasmessi per sola attività di assistenza, verifica o migrazione. Per tale motivo si ritiene che normalmente il produttore che eroga anche assistenza sui prodotti software da lui forniti sia da considerare Responsabile del trattamento a prescindere che i medesimi siano venduti nella modalità on premise (installati presso il cliente), ovvero in cloud su piattaforme del Produttore.
Servizi erogati dalle Software House e nomina DPO (Data Protection Officer)
Non è possibile dare indicazioni generali per l’obbligo o meno di provvedere alla nomina di un DPO all’interno della Software House; la cosa andrà valutata caso per caso a seconda del servizio/prodotto erogato e del trattamento dati effettuato. Tuttavia mentre nel caso di vendita e assistenza di soli prodotti “on premise” si può escludere a priori l’obbligo, nel caso di servizi erogati in SaaS Cloud, si ritiene che la cosa vada attentamente valutata e che sarebbe comunque consigliabile la nomina di un DPO.
Diritto all’oblio e cancellazione dei dati nei backup
Sul punto non ci sono particolari novità essendo la cancellazione dei dati già prevista dall’articolo 7, comma 3, lettetra b del Codice Privacy, quindi, qualora la stessa sia formulata in termini generali, si ritiene che andrebbe applicata anche ai backup. Tuttavia si reputa che debbano essere previste determinate deroghe qualora il processo di individuazione dei dati da cancellare dai backup sia particolarmente difficoltoso e/o oneroso e comporti costi significativi per il Titolare e per il Responsabile.
Il diritto alla portabilità dei dati riguarda unicamente i dati forniti dall’interessato e non tutti i dati derivati e risultati da elaborazioni del software (ad esempio elaborazione paghe/contabile/dichiarativa). Qualora sia richiesta, la portabilità potrà avvenire su formato standard e potrà essere pattuito un compenso per l’attività richiesta.
Questi sono solo alcuni dei punti affrontati dal documento e in ogni caso, vista la complessità della materia e la mancanza alla data di chiarimenti ufficiali, su molti aspetti si dovrà ritornare con ulteriori approfondimenti da parte del gruppo di lavoro associativo.
(*) Direttore generale AssoSoftware
Le precedenti uscite di Enti locali Software
SIOPE+: opportuna l’anticipazione della partenza a regime decisa dal piano di dispiegamento
2017Anagrafe nazionale: è ora di fare squadra di Roberto Bellini, Direttore generale Assosoftware