di Fabio Giordano

 

Dal 2018 cambia tutto l’impianto normativo sulla privacy. La stampa specializzata ci ha già da tempo segnalato che gli obblighi di adeguamento al Gdpr (General data protection regulation) dovranno essere assolti entro il 25/05/2018. Ma che cos’è il Gdpr? Che cosa dobbiamo fare in tema privacy, in particolare sui nostri sistemi informativi, per effetto della rinnovata normativa?

Per fornire il necessario supporto alle aziende associate, AssoSoftware ha intrapreso un’attività di studio e analisi della problematica – con il supporto dei maggiori esperti italiani e del Garante delle privacy – creando un gruppo di lavoro permanente, cui partecipano gli specialisti del Comitato tecnico delegati dalle società di software associate.

Ne è un concreto esempio il recente convegno AssoSoftware, che si è tenuto a Bologna il 28-29 novembre 2017, dal titolo «le novità 2018 e gli impatti sullo sviluppo dei software, dai cui atti abbiamo preso spunto per la realizzazione di questo approfondimento.

In quella sede, tra gli altri argomenti, si è affrontato il tema privacy, con l’intervento dell’avvocato Giovanni Guerra, uno dei maggiori esperti italiani in materia, dal titolo «Gdpr: il nuovo regolamento generale sulla protezione dei dati personali», nel corso del quale il relatore ha esaminato gli aspetti più specifici legati proprio al trattamento dei dati in ambito informatico.

Dunque non solo fisco e lavoro per le software house associate ad AssoSoftware, anche se, come sempre in questi appuntamenti, nel corso del convegno i relatori (tutti autorevoli esponenti degli enti di riferimento: l’Agenzia delle entrate, l’Inps, la Sogei) hanno trattato argomenti di estrema attualità, quali la Cu/2018 e il 770/2018, il 730/2018, l’Iva/2018 e le novità sulle comunicazioni Iva, gli studi di settore e i nuovi Isa 2018, le novità contributive Inps 2018 – ma anche un’attenzione particolare agli aspetti legati alla tutela della privacy. Di seguito, in estrema sintesi, le principali novità contenute nel Gdpr.

La marcia di avvicinamento alla scadenza del 25/05/2018

Una premessa. La nuova normativa sulla privacy è contenuta in un regolamento europeo che è direttamente applicabile in Italia e non necessita di una norma di recepimento, come invece avviene quando la normativa europea è contenuta in una direttiva.

Il regolamento europeo n. 2016/679 sulla protezione dei dati (Gdpr) è di fatto già in vigore anche in Italia dal 24/06/2016, tuttavia è prevista come data ultima per l’adeguamento il 25/05/2018. A partire da tale data sarà abrogata la direttiva 95/46/Ce e conseguentemente verranno meno diverse disposizioni dell’attuale codice della privacy italiano. Le finalità del nuovo regolamento sono:

– il superamento della situazione di disomogeneo recepimento della direttiva attualmente vigente da parte degli stati membri e garantire un livello uniforme di protezione delle persone in tutta la Ue;

– l’imposizione delle stesse regole del gioco per le imprese operanti nella Ue, ma anche per le imprese extra-Ue che offrono servizi a cittadini della Ue.

Le conferme

La normativa privacy continua ad applicarsi solo al trattamento dei dati personali relativi alle persone fisiche.

Di fatto le persone giuridiche ne sono escluse, ancorché rimangano tutelate nell’ambito delle comunicazioni elettroniche.

Con «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile «interessato»)

Confermate dal Gdpr le figure chiave nella gestione dei dati personali e degli adempimenti privacy, in particolare il «titolare», il «responsabile» e per ultimi gli «incaricati». Rinnovata la definizione di responsabile, che è quella della persona fisica o giuridica, servizio o altro organismo, che tratta dati personali per conto del titolare del trattamento. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. Le nuove definizioni aiutano anche a capire meglio i ruoli di alcuni attori.

Le software house, ad esempio, ancorché consentano di utilizzare i loro software in cloud (SaaS ecc ) – salvo casi particolari – in linea generale non devono essere nominate titolari del trattamento (come spesso avveniva in passato), ma sempre e solo responsabili dello stesso.

Peraltro anche il commercialista e il consulente del lavoro, che ad esempio elaborano dati per le aziende loro clienti, non sono necessariamente titolari del trattamento, ma sono sicuramente responsabili dello stesso in quanto trattano i dati per conto del titolare (l’azienda loro cliente) e per le finalità da questi stabilite.

Le novità

La prima e principale novità è l’introduzione del cosiddetto «principio di responsabilizzazione», per effetto del quale vengono meno molti dei precedenti adempimenti burocratici. Infatti, i dati personali devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza. Il tutto deve avvenire sotto la propria personale responsabilità e con meno carta. La seconda novità riguarda il principio del «privacy by design», ossia la protezione dei dati fin dalla progettazione. Si tratta di mettere in atto misure tecniche e organizzative adeguate, quali ad esempio la pseudonimizzazione, volte ad attuare in modo efficace i sopra citati principi di protezione dei dati e di integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e di tutelare i diritti degli interessati. La terza novità riguarda il principio del «privacy by default», ossia la messa in atto di misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione «predefinita», solo i dati personali necessari per ogni specifica finalità del trattamento. L’adesione a un meccanismo di certificazione può essere utilizzato come elemento per dimostrare la conformità ai requisiti di «privacy by design» e «privacy by default». La quarta novità riguarda il rafforzamento di alcuni diritti degli interessati. In particolare i diritti di accesso ai dati, di rettifica e integrazione dei dati, di cancellazione o diritto all’oblio, di limitazione di trattamento dei dati personali conservati, di portabilità dei dati, di opposizione per motivi legittimi e al marketing. Per i produttori di software la problematica più complessa da gestire riguarda il diritto alla cancellazione o diritto all’oblio, in quanto si devono riuscire a contemperare le esigenze civilistiche, fiscali e in materia di lavoro del soggetto che tratta il dato, con quelle del soggetto che ne richiede la cancellazione. Sul punto sono comunque in corso ulteriori approfondimenti.

Data Center solo in Europa

I soggetti che erogano servizi in cloud dovranno garantire che l’ubicazione dei data center o server non comporti trasferimenti di dati in un paese terzo al di fuori della Ue (es.: Usa). Il trasferimento di dati al di fuori della Ue è ammesso solo:

– verso paesi terzi che garantiscono un livello di protezione adeguato in base alle decisioni della Commissione europea (elenco pubblicato on line: restano in vigore passate decisioni della Commissione e autorizzazioni del Garante finché non modificate!): vedi il recente accordo con Usa-Ue su cosiddetto scudo privacy!

– se esistono garanzie adeguate come clausole contrattuali standard, norme vincolanti d’impresa (Bcr), adesione a codici di condotta o certificazioni privacy (con impegno ad applicare nel proprio paese)

– se, in assenza, ricorrano ulteriori condizioni, come il consenso dell’interessato, obblighi contrattuali, ecc.

Conclusioni

Abbiamo fornito solo qualche spunto. L’impatto per le software house, in particolare per quelle che operano sulla rete non è chiaramente indifferente. Come AssoSoftware stiamo esaminando, insieme ai nostri associati, tutte le situazioni che ci vengono sottoposte con l’obiettivo di dare una risposta a ognuna delle questioni aperte.

 

I nuovi ingressi in Assosoftware nel 2017

01 INFORMATICA SRL (www.info01.it)
ABLE TECH SRL (www.arxivar.it)
ADRIATICA SISTEMI SOC. COOP. (www.adriaticasistemi.it)
ALA DATA SYSTEM SRL (www.aladata.it)
BI ELLE SRL (www.bielle.it)
CODICE SRL (www.readypro.it)
DATA FLOW SRL (www.dataflow.it)
DENTAL TREY SRL (www.dentaltrey.it)
ESSEITALIA SRL (www.esseitalia.it)
EVOLUTION SRL (www.evolution.it)
HALLEY INFORMATICA SRL (www.halley.it)
IT TOSCANA SRL (www.ittoscana.it)
ITACME INFORMATICA SRL (www.itacme.it)
MEDIASOFT SNC (www.msw.it)
METHEOS INFORMATICA SAS (www.metheos.it)
METODO SRL (www.metodo.net)
MICROMATICA SRL (www.micromatica.it)
NEW SYSTEM SRL (www.new-system.it)
PLUS INFORMATICA SNC (www.plusinformatica.com)
PROGETTO AUTOMAZIONE SRL (www.progettoautomazione.com)
SELCO SNC (www.selcoisp.com)
SOFT SYSTEM SRL (www.softsystem.it)
TECHNE CONSULTING SRL (www.technecs.it)
UNIMEDIA SOFT SRL (www.unimediasoft.it)
WOODOO SRL (www.woodoo.io)