In vigore il Codice di Condotta per il Trattamento dei Dati Personali effettuato dalle imprese di sviluppo e produzione di software gestionali: un utile mezzo di accountability per i Responsabili Esterni di P.A. e P.m.i.
Nell’ambito della sempre più pressante digitalizzazione delle strutture pubbliche e del principio dell’efficienza e del buon andamento della Pubblica Amministrazione, ma, più in generale, della complessità della gestione strutturale degli Enti, è oramai imprescindibile ricorrere a soluzioni software fornite da terze parti nelle quali un trattamento massivo di dati personali può essere una inevitabile conseguenza.
Digitalizzazione e Rischi nel Trattamento Massivo di Dati Personali
In un mercato sempre più competitivo dal lato dei produttori di software, inoltre, è crescente l’offerta di soluzioni smart che utilizzino sistemi di intelligenza artificiale di vario genere, spesso ospitati in cloud [1]: il rischio principe è che i dati personali di utenti, dipendenti e altre categorie di persone fisiche si ritrovino ad essere esposti a varie tipologie di minacce e che siano trattati in maniera poco trasparente e lineare.
La normativa sovranazionale e nazionale in materia negli ultimi mesi ha visto una pressante evoluzione tesa a salvaguardare la trasparenza e la sicurezza dei trattamenti, garantendo al tempo stesso la migliore accountability dal lato del Titolare del Trattamento come pure dei Responsabili esterni.
Evoluzione Normativa a Tutela di Trasparenza e Sicurezza
In questo contesto di sviluppo tumultuoso e concorrenziale si inserisce il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (anche R.G.P.D. o G.D.P.R.), completato, tra gli altri, dal Regolamento (UE) 2024/1689 “che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale)” (anche I.A. Act) e le due direttive volte a garantire una maggiore cybersicurezza e resilienza dei trattamenti di dati, rispettivamente la Direttiva (UE) 2022/2555 “relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)” e la Direttiva (UE) 2022/2557 “del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio”.
Come già richiamato, uno dei pilastri portanti del R.G.P.D. è la responsabilizzazione [2] del Titolare o del Responsabile del Trattamento dei dati personali, i quali sono chiamati a “stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto”, mettendo “in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.”
Il Codice di Condotta AssoSoftware: Obiettivi e Ambito di Applicazione
In tale cornice si inserisce il “Codice di Condotta per il Trattamento dei Dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e accreditamento dell’organismo di monitoraggio”, approvato con Delibera del 17 ottobre 2024 del Garante per la Protezione dei Dati Personali [3], il quale si prefigge come obiettivo, rappresentato da AssoSoftware [4], « […] di assicurare che le attività dalle stesse [imprese produttrici] svolte nell’ambito dell’intero ciclo di vita del software gestionale, dalla sua progettazione, produzione e sviluppo sino alla sua installazione e messa in esercizio, si conformino ad elevati livelli di protezione dei dati personali, allo scopo di favorire il rispetto del regolamento e di rafforzare la fiducia degli utilizzatori del software verso l’adozione dei soluzioni gestionali in grado di realizzare la transizione digitale e l’innovazione produttiva […]».
Il Codice di Condotta non ha solamente ad oggetto le attività di progettazione e sviluppo dei Software, le quali normalmente non coinvolgono dati personali, ma anche le attività di installazione, test, collaudo, assistenza, manutenzione e aggiornamento dei Gestionali, “che possono comportare operazioni di trattamento di dati personali eseguite dai Produttori” – SWH – “per conto dei clienti”. Tali attività possono ricomprendere attività di migrazione dei dati e caricamenti massivi, assistenza con accesso remoto e screen sharing, acquisizione o esportazione di copie di dati per verifiche. Tali operazioni possono essere svolte nei contesti on premise, cioè localmente presso i Clienti su infrastrutture proprie o fornite da terzi o dal produttore stesso, ovvero on cloud, laddove il Cliente utilizzi il software attraverso infrastrutture rese disponibili da quest’ultimo o tramite i suoi sub-fornitori [5].
Le Pubbliche Amministrazioni che utilizzino tali software gestionali rimangono comunque responsabili e pienamente Titolari delle eventuali attività di trattamento di dati personali “eventualmente svolte dal produttore […], su richiesta e per conto del cliente, quali servizi di elaborazione di dati a fini contabili, amministrativi, retributivi, previdenziali, assistenziali e fiscali (es. elaborazione paghe, tenuta della contabilità, fatturazione, ecc.)”.
Misure Tecniche e Organizzative, Responsabilità e Controlli
Ai sensi dell’art. 40 e nell’ottica di assicurare la privacy by design e by default richiesta dall’art. 25 del G.D.P.R., gli aspetti prioritari che il Codice di Condotta intende coprire, garantendo un maggiore controllo sui fornitori di software gestionali, anche nella qualità di Responsabili del Trattamento o Sub-Responsabili del Trattamento, sono anzitutto il richiamo, attraverso gli Allegati A e B, di un approccio proattivo alle misure di sicurezza adottate dalle software house per l’erogazione dei servizi gestionali, sia in modalità on premise che in cloud, a garanzia di un approccio coerente e sistemico alla protezione dei dati. Un altro pilastro fondamentale del Codice è il sostegno concreto alle Piccole e Medie Imprese che stanno affrontando la sfida della transizione digitale fornendo strumenti semplici, efficaci e sostenibili.
Il Codice, infatti, è pensato anche per agevolare l’adozione di tecnologie conformi al G.D.P.R. da parte di imprese che dispongono di risorse e competenze I.T. limitate, evitando che la tutela dei dati diventi un ostacolo, piuttosto che un’opportunità. Si promuove così un equilibrio virtuoso tra semplificazione degli adempimenti e garanzie effettive per gli interessati. L’adesione al Codice è volontaria, ma una volta sottoscritto, rappresenta un impegno vincolante per le aziende. L’articolo 20 del Codice stabilisce che i produttori i quali desiderino aderire debbano presentare una richiesta formale, specificando i prodotti coperti dal Codice.
Questo consente di assicurare un livello omogeneo di conformità tra le diverse soluzioni software e rafforza la credibilità dell’intero ecosistema, a beneficio degli utenti finali. Infine, un elemento distintivo del Codice è rappresentato dall’istituzione dell’Organismo di Monitoraggio. Accreditato dall’Autorità Garante per la protezione dei dati personali, l’Organismo è composto da esperti qualificati che rappresentano le varie parti interessate.
Il suo compito è garantire un controllo indipendente, costante e trasparente sull’attuazione del Codice, assicurando così che i principi e le disposizioni in esso contenuti non rimangano mere enunciazioni, ma si traducano in prassi operative concrete e verificabili. Il Codice di Condotta, quindi, rappresenta un’opportunità importante per le imprese del settore: uno strumento di autoregolamentazione che coniuga innovazione, tutela dei diritti e valorizzazione del mercato, offrendo una risposta concreta alle sfide della digitalizzazione responsabile.
Nel dettaglio l’art. 6 del Codice “Accordo sul Trattamento dei Dati personali con il Cliente” ribadisce la necessità nei casi di installazione, assistenza e manutenzione del SW Gestionale, anche attraverso il ricorso ad ulteriori codici di condotta o certificazioni o best practice settoriali (quali, ad esempio, le norme ISO 9001, 27001, 27002, 27701, 27013, ecc.), di stipulare con il Cliente “un Accordo sul trattamento dei dati personali ai sensi dell’art. 28 del regolamento e in osservanza delle Linee guida del Comitato Europeo per la Protezione dei Dati («EDPB») attualmente applicabili a tale riguardo (cfr. Linee Guida n. 7/2020)” [6]. L’art. 8, invece, stabilisce che la SWH “agisce in qualità di titolare del tratta mento dei dati personali riferiti al cliente, ove si tratti di persona fisica, e/o alle persone fisiche che sono i rappresentanti, esponenti, referenti, dipendenti e collaboratori del cliente (ove si tratti di persona giuridica, ente o associazione), acquisiti per lo svolgimento delle proprie attività amministrative, contabili, organizzative e tecniche correlate o strumentali alla gestione del rapporto contrattuale con il medesimo cliente (ad es., per la definizione e sottoscrizione del contratto, fatturazione dei servizi, gestione di accessi ed uso del software gestionale, gestione e manutenzione dei relativi sistemi e piattaforme, assistenza ed attività di help-desk a supporto degli Utenti del cliente, ecc.)”, fermo restando l’obbligo di informativa di cui agli artt. 12, 13 e 14 del G.D.P.R. da rendere al Cliente.
Nell’ambito dell’Analisi dei rischi e valutazione d’impatto (D.P.I.A.) sulla protezione dei dati personali e delle Misure adottate per la sicurezza del trattamento dei dati personali, volte anche a facilitare dal lato del Cliente gli adempimenti di cui agli artt. 25, 32 e 35 del G.D.P.R. quale Titolare del Trattamento, è fatto esplicito richiamo all’utilizzo degli Allegati A e B, rispettivamente misure di sicurezza tecniche ed organizzative nei casi di software on premise ovvero cloud based, per agevolare la verifica dell’adozione delle misure di sicurezza proporzionate al rischio del trattamento, nonché “nel caso in cui il produttore del software svolga attività tecniche riconducibili alle funzioni di amministratore di sistema, fermo quanto previsto al precedente art. 4.4, lo stesso produttore provvede, nei termini individuati nell’Accordo sul trattamento dei dati personali con il cliente, all’attuazione di misure organizzative e tecniche adeguate nel rispetto del Provvedimento del Garante recante misure e accorgimenti in materia di amministratori di sistema” [7].
Gli Allegati A e B riportano controlli tratti dalle “UNI CEI ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements” (ISO/IEC 27002:2022); “Privacy in base alla progettazione e privacy per impostazione predefinita” elencati nel paragrafo A.7.4 della “ISO/IEC 27701:2019 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines” (ISO/IEC 27701:2019); misure comprese nelle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” emanate dall’AgID (MM AgID); misure elencate riguardanti la “Sicurezza delle informazioni” presenti nel paragrafo 5.11 di ” Information technology – Security techniques – Privacy framework” (ISO/IEC 29100:2011). “Le misure di sicurezza sono state confrontate con i parametri RID (riservatezza, integrità e disponibilità) utili per una valutazione degli impatti sugli interessati. Nella seconda sezione, le misure sono confrontate anche con il parametro Res (resilienza)”.
Tali misure di sicurezza, adattate all’ambito della protezione dei dati personali, devono tuttavia confrontarsi con le misure di sicurezza disposte nell’ambito Cyber e Cloud da A.C.N., laddove applicabili, avuto riguardo per le disposizioni relative alla “catena di approvvigionamento” dei dati [8].
Il Codice di Condotta comunque pone principi standard per i soggetti aderenti rientranti nell’ambito di applicazione anche riguardo alle modalità di gestione delle richieste esercizio dei diritti degli interessati presso i Clienti, come pure ribadisce la possibilità, da parte del Cliente, di essere sempre “in grado di valutare se le attività di trattamento del Produttore di Software sono conformi agli obblighi previsti dal presente Codice di condotta e dal Regolamento”, conseguentemente, l’art. 17 del Codice, specifica che la SWH “si impegna altresì a consentire lo svolgimento di verifiche da parte del Cliente sul trattamento dei dati effettuato dal medesimo Produttore ai fini dell’erogazione dei Servizi” anche tramite report di auditor indipendenti.
L’art. 15, sui trasferimenti di dati in Paesi terzi, ribadisce che le SWH aderenti al Codice di Condotta, laddove ricorrano per lo svolgimento dei loro servizi a infrastrutture collocate in paesi terzi al di fuori della UE/SEE o comunque a sub-responsabili, garantiscono un previo controllo sui requisiti di cui agli artt. 45, 46 e ss. del G.D.P.R.
Concludendo, tale Codice di Condotta si configura quale un utile strumento di accountability, anche a garanzia dell’elevato standard di affidabilità che vuole perseguire il Fornitore di Software Gestionali aderente[9]; infatti, grazie a delle misure di sicurezza tecniche e organizzative standardizzate e contestualizzate, allegate, e ad un format tipo di accordo di responsabilità esterna del trattamento ai sensi dell’art. 28 del G.D.P.R., lo scopo di agevolare i controlli e la scelta degli aderenti da parte dei Clienti, specialmente P.M.I. e P.A., può essere raggiunto.
Implicazioni per la PA e Necessità di Ulteriori Verifiche di Sicurezza
Non si può, tuttavia, ignorare quanto già espresso in relazione agli altri profili tecnici e di sicurezza coinvolti nel trattamento dei dati, non solamente personali: la cornice normativa derivate dalla regolamentazione europea sulla cybersicurezza, resilienza, intelligenza artificiale, recepita all’interno dell’ordinamento italiano e specificata sempre più dettagliatamente dagli atti delle agenzie competenti, prime tra tutte l’Agenzia Nazionale per la Cybersicurezza e l’Agenzia per l’Italia Digitale, impongono ulteriori e necessari controlli sui soggetti che forniscano software gestionali per soggetti rientranti nell’ambito del Perimetro di Sicurezza Cibernetica Nazionale, o appartenenti ai Soggetti di Settori Critici o Importanti, come definiti dagli allegati del Decreto Legislativo n. 138/2024.
Quanto emerge impone alle Pubbliche Amministrazioni, o ai Clienti di tali soggetti fornitori, di verificare e avere contezza, specie in qualità di Titolari dei Trattamenti di Dati Personali, ma non solo, dei rischi derivanti dall’adozione e impiego di differenti soluzioni tecnologiche, assicurando la riservatezza, la trasparenza e la (cyber)sicurezza del dato tanto personale quanto strutturale e portante nelle operazioni ICT.
A cura di Dott. Eucalipto Edoardo
[1] L’Agenzia per la cybersicurezza nazionale (A.C.N.) ha adottato il Regolamento unico per le infrastrutture e i servizi cloud per la PA, d’intesa con il Dipartimento per la trasformazione digitale, “Regolamento Per Le Infrastrutture Digitali E Per I Servizi Cloud Per La Pubblica Amministrazione, Ai Sensi Dell’articolo 33-Septies, Comma 4, Del Decreto-Legge 18 Ottobre 2012, N. 179, Convertito, Con Modificazioni, Dalla Legge 17 Dicembre 2012, N. 221”, cfr. Decreto Direttoriale n. 21007/24 del 27 giugno 2024, in www.acn.gov.it/portale/cloud.
[2] Cfr. Art. 5 § 2, Art. 24 e Art. 25, Cons. 74, 75 Reg. (UE) 2016/679, in eur-lex.europa.eu.
[3] “Approvazione del codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e accreditamento dell’organismo di monitoraggio”, sulla base di quanto previsto dall’Art. 40 del Reg. (UE) 2016/679, Provvedimento n. 618 del Garante per la Protezione dei Dati Personali, G.U. n. 278 del 27 novembre 2024.
[4] “Associazione italiana che riunisce, rappresenta e tutela le principali aziende produttrici di software gestionale per piccole e medie imprese, professionisti e pubbliche amministrazioni”, vd. Codice di Condotta – AssoSoftware.
[5] L’infrastruttura IT on premise presenta il livello più elevato di responsabilità di gestione per utenti e manager, poiché hardware e software sono in sede, la gestione, l’aggiornamento e la sostituzione di ogni componente spettano al Titolare; la soluzione cloud computing consente di assegnare la gestione di uno, alcuni o tutti i componenti dell’infrastruttura a una terza parte. Tra le soluzioni di cloud computing lecite le più diffuse sono rappresentate da: Container as a Service (CaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS), con differenti soluzioni di personalizzazione lato Cliente; cfr. cloud.italia.it.
[6] Nell’Allegato C del Codice di Condotta è riportato uno schema esemplificativo e non vincolante dei principali contenuti dell’Accordo sul Trattamento dei dati personali, elaborato sulla base delle Linee Guida dell’European Data Protection Board, finalizzato a facilitare l’adempimento previsto dall’art. 6. Nel caso in cui i fornitori eroghino i loro servizi ad un elevato numero di clienti, tale accordo può essere proposto in serie avendo condizioni contrattuali uniformi ed indicazioni di misure tecniche ed organizzative garantite; in www.garanteprivacy.it.
[7] Cfr. G.U. n. 300 del 24 dicembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008” e ss. mm. ii. del Garante per la Protezione dei Dati Personali, in www.garanteprivacy.it ; Art. 4 c. 4 “al personale incaricato dal produttore del software, che svolge in via continuativa attività di assistenza e manutenzione che comporta l’accesso ad infrastrutture e sistemi del cliente su cui è installato il medesimo Software, sono attribuite le funzioni di amministratore di sistema, nel rispetto del provvedimento del Garante recante misure e accorgimenti in materia di amministratori di sistema” & art. 11 c. 4 del Codice di Condotta.
[8] Cfr. Allegato 2 “Livelli Minimi di sicurezza e affidabilità, capacità elaborativa, risparmio energetico delle Infrastrutture Digitali e delle infrastrutture dei servizi per la pubblica amministrazione” e Allegato 3 “Caratteristiche di base di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità dei Servizi Cloud per la pubblica amministrazione” del Regolamento Recante I Livelli Minimi Di Sicurezza, Capacità Elaborativa, Risparmio Energetico E Affidabilità Delle Infrastrutture Digitali Per La Pa E Le Caratteristiche Di Qualità, Sicurezza, Performance E Scalabilità, Portabilità Dei Servizi Cloud Per La Pubblica Amministrazione, Le Modalità Di Migrazione Nonché Le Modalità Di Qualificazione Dei Servizi Cloud Per La Pubblica Amministrazione, pagg. 24 e ss. & 54 e ss., vd. www.acn.gov.it/; nonché Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale “di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo”, cfr. www.acn.gov.it/.
[9] L’adesione al Codice di Condotta è regolamentata dall’Allegato E, mentre l’Organismo di Monitoraggio, accreditato dal Garante per la Protezione dei Dati Personali, è regolamentato all’Allegato D, dove è specificato che si tratta di un soggetto terzo rispetto ad AssoSoftware, composto di 3 membri uno proveniente da AssoSoftware, uno dal Consiglio Nazionale dei Consumatori e degli Utenti (C.N.C.U.) e uno dagli organismi rappresentativi delle categorie dei Clienti utilizzatori dei software Gestionali.
