Software house e GDPR
Software house e GDPR: consigli e adempimenti
Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente l’approccio alla privacy. Non c’è dubbio che questa nuova normativa interessi chiunque, perché è impossibile svolgere attività d’impresa senza trattare dati personali. Ciò non toglie che con l’avvicinarsi del 25 Maggio 2018 si siano scatenate delle reazioni spesso ingiustificate. Non tutte le imprese infatti trattano i dati allo stesso modo e sono poche quelle che dovranno operare stravolgimenti per adattarsi al GDPR. Fra di esse ci sono senza dubbio le software house.
Quando cerco di spiegare ad una software house l’importanza di adeguarsi al GDPR, dico sempre che la paura di subire sanzioni deve essere l’ultima delle motivazioni. A sanzionare una software house che decida di ignorare il GDPR non ci penserà il Garante ma il mercato stesso. Al contrario, una software house che dimostri di trattare i dati personali in modo adeguato potrà ottenere un incredibile vantaggio concorrenziale. Vediamo perché.
La software house come responsabile esterno del trattamento
In materia di privacy si distinguono due ruoli fondamentali: il titolare del trattamento ed il responsabile del trattamento. Titolare è il soggetto che decide le finalità e le modalità del trattamento. Diversamente, il responsabile è quel soggetto esterno che tratta i dati per conto del titolare, seguendone le istruzioni.
Solitamente, la software house assume il ruolo di responsabile esterno del trattamento dati. Conformemente all’art. 28 Reg. UE 2016/679, dovrà essere designata ed istruita mediante un contratto scritto. Ciò vale senza alcun dubbio quando viene fornito un software in modalità Cloud SaaS (si veda “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“). In questo caso, il titolare esternalizza il trattamento automatizzato dei propri dati verso la software house e pertanto non può esimersi dal nominarla come responsabile esterno, né quest’ultima può esimersi dal farsi nominare. Anche nei casi in cui viene fornita una licenza d’uso in modalità “on premise”, la software house tratta comunque i dati del titolare. Si pensi alla fornitura dei servizi di assistenza, aggiornamento e manutenzione del software, che possono comportare accesso ai dati anche da remoto (tramite VPN o teamviewer).
In tutti questi casi la software house deve fare attenzione a contrattualizzare in maniera adeguata le modalità di trattamento dei dati personali.
Il GDPR come vantaggio concorrenziale per una software house
Principio fondamentale del GDPR è quello di responsabilizzazione (accountability). Il titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati. Egli deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni.
Nel momento in cui un titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali. Non soltanto, il titolare deve anche svolgere degli audit periodici, per verificare che la software house tratti i dati in maniera conforme al GDPR ed a quanto dichiarato nel contratto di designazione a responsabile esterno. Se non lo fa, il titolare diviene direttamente responsabile per culpa in eligendo ed in vigilando.
Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR. Contrariamente, una software house che non si adegui alle nuove normative, rischia di non poter più essere scelta dai propri clienti e partner commerciali.
L’importanza delle certificazioni e dei codici di condotta per una software house
Come spiegato sopra, nel momento in cui un titolare sceglie una software house, deve effettuare una due diligence per assicurarsi che tratti i dati in maniera conforme al GDPR. Allo stesso modo, dovrebbe effettuare su questa società ispezioni ed audit periodici, per verificare che la conformità sia mantenuta nel tempo.
Se questo è vero in teoria, nella pratica ciò è spesso difficile da attuare. Gli imprenditori hanno altro a cui pensare. Molti di loro hanno già problemi ad adeguare la propria azienda alla nuova normativa, figuriamoci se trovano il tempo e le risorse per verificare che anche i loro responsabili esterni si siano adeguati.
Una soluzione a questo problema può essere data dalle certificazioni e dai codici di condotta, di cui agli artt. 40 e ss. Reg. 2016/679. Il fatto che una software house abbia ottenuto una certificazione privacy oppure aderisca ad un codice di condotta, rappresenta di per sé una grossa garanzia di adeguatezza per il titolare che la sceglie. Ad oggi non ci sono ancora certificazioni o codici di condotta ufficiali. Tuttavia, non appena usciranno, potranno rappresentare un sicuro vantaggio concorrenziale per le software house che li adotteranno.
Per arrivare pronti al momento in cui usciranno le prime certificazioni ed i primi codici di condotta, una software house deve iniziare a lavorare sin da adesso. Diversamente, rischia di non restare al passo con il mercato.
Pensare al GDPR nello sviluppo dei software: privacy by design e by default
Oltre all’accountability, principi fondamentali del GDPR sono quelli di privacy by design e privacy by default. Nel mondo del software, privacy by design significa che bisogna iniziare a porsi il problema del trattamento dei dati personali sin dalla fase di progettazione. Privacy by default significa che deve essere previsto di default il maggior livello di protezione possibile, senza costringere l’utente a comportamenti attivi per innalzarlo.
Un software, soprattutto un gestionale, che si conformi a questi principi, avrà anch’esso un vantaggio incredibile sulla concorrenza. Infatti, la maggior parte dei dati aziendali vengono trattati mediante i software gestionali. Un software che preveda misure quali la pseudonimizzazione, la crittografia, la registrazione dei consensi, la registrazione dei log etc. facilita di molto il compito dell’imprenditore che intenda conformarsi al GDPR. Di conseguenza, nella scelta di un software gestionale, l’aspetto privacy giocherà un ruolo fondamentale.
Per conoscere le modalità per prevenire e gestire i data breach potete leggere l’articolo “Violazioni della privacy: come gestire un data breach“.
Conclusioni
Il GDPR e la privacy in generale sono visti dai più come un costo ed una scocciatura. Se c’è però una categoria che deve guardare al GDPR come ad un’opportunità di crescita è proprio quella delle software house. Coloro che hanno già iniziato a lavorare sulla privacy, nominando un DPO o affidandosi ad un professionista competente, potranno presto raccoglierne i frutti. Per le software house che invece trascureranno la materia del trattamento dei dati personali, le sanzioni del Garante saranno un rischio, quelle del mercato una certezza.
L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia