Software gestionali: guida all’adesione al codice di condotta

L’importanza del Codice di Condotta

Questo codice mira a colmare un vuoto normativo relativo ai produttori di software gestionali, strumenti indispensabili per le aziende nella gestione di obblighi fiscali, previdenziali, contabili e organizzativi. Trattando una grande quantità di dati personali, questi software richiedono standard elevati di sicurezza e conformità.

Ambito di applicazione del Codice di Condotta

Questo Codice di condotta si riferisce esclusivamente alle attività di trattamento dei dati personali svolte dai produttori di software nei contesti indicati nell’introduzione, limitatamente al territorio italiano. Per questo motivo, l’approvazione prevista dall’articolo 40 del GDPR è richiesta al Garante della Privacy, che opera come autorità di controllo competente ai sensi dell’articolo 55 del Regolamento.

Il Codice di condotta si applica a ciascun software gestionale per il quale il produttore abbia formalmente richiesto l’adesione, come previsto dall’articolo 20 del presente Codice.

I trattamenti esclusi dal codice

Sono esclusi dall’ambito di applicazione del Codice i trattamenti di dati personali relativi ad attività secondarie o non direttamente collegate alla produzione di software gestionale. Questo include, ad esempio, i trattamenti legati alla gestione dei rapporti di lavoro con i dipendenti, alla raccolta di dati per finalità di marketing diretto o alla gestione dei dati personali dei clienti, attività che sono comuni a diversi settori produttivi.

Principi fondamentali del codice

Le attività di progettazione e sviluppo dei software gestionali devono rispettare i principi di protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, come previsto dall’articolo 25 del GDPR. I produttori di software documentano il rispetto di tali principi attraverso:

• l’analisi dei rischi relativi ai trattamenti di dati personali per i quali il software gestionale è progettato;
• l’integrazione di funzionalità, misure tecniche e organizzative che permettano al cliente, in qualità di titolare o responsabile del trattamento, di garantire un livello adeguato di protezione dei dati personali trattati tramite il software;
• una comunicazione chiara e trasparente al cliente riguardo alle caratteristiche di sicurezza e alle funzionalità di privacy by design del software gestionale. Questo consente al cliente di valutare autonomamente se il software soddisfa le proprie esigenze tecniche e risponde alle specificità del trattamento dei dati che intende effettuare. Nel caso in cui il cliente consideri necessarie ulteriori misure, il produttore del software può analizzarne la fattibilità tecnica e stimare i relativi costi.

Durante la progettazione e lo sviluppo dei software gestionali, i produttori seguono le indicazioni riportate nell’Allegato A del presente Codice, con l’obiettivo di:

• garantire un livello di protezione adeguato per i dati personali trattati attraverso il software gestionale;
• fornire garanzie tecniche e di sicurezza in linea con quanto richiesto dal GDPR;
• agevolare, attraverso riferimenti alle disposizioni del GDPR e alle normative internazionali pertinenti, i clienti, gli interessati, l’Organismo di Monitoraggio (OdM) e il Garante nella verifica della conformità del software ai requisiti stabiliti dal Codice.

L’Allegato A viene sottoposto a revisioni e aggiornamenti periodici, tenendo conto dei progressi tecnologici e dei nuovi scenari di rischio che potrebbero emergere.

Le misure specificate nell’Allegato A devono essere adottate durante le attività di sviluppo di soluzioni software gestionali per le quali i produttori presentano richiesta di adesione al Codice.

Durante le attività tecniche legate ai servizi offerti in modalità on-premise o cloud, che implicano il trattamento di dati personali per conto del cliente, il produttore del software agisce come Responsabile del trattamento ai sensi dell’articolo 28 del GDPR. Se il cliente, come ad esempio un professionista, ricopre già il ruolo di Responsabile del trattamento, la software house (SWH) assume il ruolo di Sub-Responsabile.

Quando il produttore opera come Responsabile o Sub-Responsabile

Nel dettaglio, il produttore opera come Responsabile o Sub-Responsabile nei seguenti scenari:

• In cloud: durante l’esecuzione dei servizi.
• On-premise: solo se coinvolto in attività tecniche specifiche, quali:
  • Migrazione di dati per installazione e collaudo.
  • Assistenza e aggiornamento con possibile accesso remoto ai dati (es. tramite strumenti VPN).
  • Esportazione e analisi dei dati del cliente per risolvere problematiche tecniche.

In entrambi i contesti (on-premise e cloud), il produttore è tenuto a rispettare le misure di sicurezza definite nell’Allegato A e a osservare quelle aggiuntive indicate nell’Allegato B del Codice.

Contesti on-premise

Nei contesti on-premise:

• Gli incaricati del produttore che accedono ai sistemi del cliente per assistenza continuativa assumono il ruolo di amministratori di sistema, in conformità con le disposizioni del Garante sulla gestione di tali figure.
• La responsabilità del produttore non si estende alla gestione dell’infrastruttura fisica e logica su cui è installato il software, inclusi backup, ripristino dati e protezione fisica dell’ambiente.

Aderendo al presente Codice e adottando le misure indicate negli Allegati A e B, il produttore del software garantisce che le garanzie fornite in qualità di Responsabile o Sub-Responsabile del trattamento siano adeguate, come richiesto dall’articolo 28, paragrafo 1, del GDPR. Tali garanzie possono essere ulteriormente integrate mediante:

• L’adesione ad altri codici di condotta pertinenti, ove applicabili.
• Certificazioni di settore.
• Adozione di buone pratiche riconosciute, come gli standard internazionali (ad esempio, norme ISO).

Non è responsabilità del produttore del software stabilire i criteri di liceità delle attività di trattamento svolte per conto del cliente. Tuttavia, il produttore ha il diritto di rifiutarsi di eseguire operazioni che siano palesemente in violazione della normativa vigente in materia di protezione dei dati personali, notificando tale decisione al cliente in maniera trasparente.

L’accordo per il trattamento dei dati personali

Quando si verificano le situazioni descritte negli articoli 4 e 5, il produttore del software stipula con il cliente un accordo per il trattamento dei dati personali, anche in formato elettronico, in conformità all’articolo 28 del GDPR. Questo accordo rispetta le Linee Guida attualmente in vigore del Comitato Europeo per la Protezione dei Dati (EDPB), come specificato nelle Linee Guida n. 7/2020.

Per facilitare l’adempimento degli obblighi da parte dei produttori l’Allegato C del presente Codice fornisce un modello esemplificativo e non obbligatorio dei contenuti principali di un accordo conforme. Tuttavia, le disposizioni contenute nell’accordo non possono in alcun modo contraddire i requisiti stabiliti dal presente Codice.

Nel caso in cui i servizi siano destinati a un ampio numero di clienti, il produttore può proporre un modello standardizzato di accordo ai sensi dell’articolo 28 del GDPR. Questo schema deve includere tutti gli elementi previsti dall’articolo 28.3, garantendo uniformità nelle condizioni contrattuali e specificando le misure tecniche e organizzative adottate. Tale approccio mira a garantire una gestione efficace e coerente degli obblighi contrattuali.

Le disposizioni sopra descritte si applicano anche quando il cliente si qualifica come Responsabile del trattamento e utilizza i servizi del produttore come Sub-Responsabile, conformemente a quanto indicato nell’articolo 4 del presente Codice.

Un Sub-Responsabile del trattamento è un soggetto esterno (individuo o entità giuridica) incaricato dalla Software House (SWH) di eseguire attività che implicano il trattamento di dati personali. Questo avviene nell’ambito dei servizi che la SWH svolge per conto del cliente in qualità di Responsabile o Sub-Responsabile, in relazione al contratto stipulato con il cliente come Titolare del trattamento.

Il cliente può concedere un’autorizzazione scritta generale per la nomina dei Sub-Responsabili. Questa deve includere: le categorie di Sub-Responsabili individuate per tipologia di servizio fornito e un elenco nominativo, disponibile su richiesta, accessibile tramite modalità che ne garantiscano una consultazione semplice (ad esempio, tramite un’area riservata online).

Opposizione alla nomina di uno o più Sub-Responsabili

Il cliente ha diritto di opporsi alla nomina di uno o più Sub-Responsabili entro 30 giorni dalla comunicazione, fornendo motivazioni precise. Se le parti non raggiungono un accordo, il cliente può recedere dal contratto per il software gestionale, rispettando i termini contrattuali previsti.

La SWH è obbligata a mantenere aggiornato un registro dei Sub-Responsabili coinvolti, contenente: nome o denominazione legale, descrizione sintetica dei trattamenti svolti, localizzazione dei trattamenti, specificando se avvengono al di fuori dell’UE.
L’elenco deve essere fornito al cliente su richiesta e, se necessario, subordinato a un impegno di riservatezza.

La SWH deve sottoscrivere con ogni Sub-Responsabile un contratto che imponga obblighi coerenti con quelli concordati con il cliente, assicurando: l’applicazione delle stesse misure tecniche e organizzative e la responsabilità della SWH per eventuali inadempimenti del Sub-Responsabile, in linea con l’articolo 28, paragrafo 4, del GDPR.

Quando la SWH si avvale di fornitori i cui termini e condizioni non sono negoziabili (ad esempio, fornitori di hosting o data center), deve: informare il cliente sull’identità del Sub-Responsabile e sulle condizioni contrattuali applicabili e assistere il cliente nella valutazione di tali condizioni.
Il cliente può opporsi all’utilizzo di tali Sub-Responsabili qualora vi siano ragioni tecniche legate alla sicurezza o alla protezione dei dati.

Nel caso in cui la SWH fornisca servizi a un gran numero di clienti, le informazioni relative ai Sub-Responsabili possono essere rese disponibili tramite pubblicazione in un’area riservata o altri mezzi ritenuti idonei, garantendo la riservatezza delle informazioni sensibili del produttore.

Quando la Software House può agire come Titolare del trattamento

La Software House (SWH) può agire come Titolare del trattamento quando gestisce dati personali relativi al cliente, se persona fisica, oppure riferiti ai rappresentanti, referenti, collaboratori o dipendenti del cliente, qualora si tratti di una persona giuridica, ente o associazione. Questi dati sono trattati per finalità amministrative, contabili, tecniche e organizzative necessarie alla gestione del rapporto contrattuale, come ad esempio:

• Stipula e gestione del contratto.
• Emissione delle fatture.
• Gestione degli accessi e utilizzo del software gestionale.
• Manutenzione di sistemi e piattaforme.
• Fornitura di supporto tecnico e assistenza (es. help desk).

In questi casi, la SWH è tenuta a rispettare tutti gli obblighi previsti dal GDPR in quanto Titolare del trattamento, oltre a quelli già previsti per i suoi ruoli di Responsabile o Sub-Responsabile del trattamento.

Finalità di utilizzo dei dati raccolti

La SWH, come Titolare del trattamento, può utilizzare i dati raccolti (ad esempio, attraverso l’uso del software gestionale) per finalità di analisi, statistiche e ricerca, con l’obiettivo di migliorare le funzionalità, le prestazioni e la sicurezza del software e dei relativi servizi.

Queste elaborazioni:

• Avvengono esclusivamente in forma aggregata e anonima, utilizzando tecniche di pseudonimizzazione o cifratura per impedire l’identificazione diretta degli interessati.
• Si basano su un legittimo interesse della SWH, con benefici anche per i clienti che utilizzano il software.

Informativa agli interessati e registro delle attività di trattamento

Prima di effettuare tali trattamenti, la SWH deve fornire un’informativa agli interessati, spiegando chiaramente le finalità e i legittimi interessi perseguiti.

L’informativa agli interessati può essere fornita in modo sintetico al momento della sottoscrizione del contratto, anche in formato elettronico. Questa può includere:

• Informazioni essenziali mostrate prima dell’accesso o utilizzo del software.
• Un rinvio a una versione estesa dell’informativa, consultabile sul sito web della SWH.

Le informative, sia sintetiche che complete, possono essere predisposte seguendo modelli elaborati dall’associazione di riferimento e pubblicati sul sito dedicato al Codice di Condotta, sotto la supervisione del Comitato Indipendente di Vigilanza.

Quando il produttore del software opera come Responsabile del trattamento è obbligato a mantenere un registro delle attività di trattamento in conformità all’articolo 30, paragrafo 2, del GDPR. Questo obbligo si applica indipendentemente dal numero di dipendenti dell’azienda o dalla tipologia dei dati trattati, a causa della natura sistematica e non occasionale dei trattamenti svolti.

Poiché i produttori di software spesso operano come Responsabili del trattamento per un gran numero di clienti (Titolari del trattamento), è consentito adottare modalità organizzative semplificate per la tenuta e conservazione del registro, quali:

a) registrare i clienti (Titolari del trattamento) tramite schede anagrafiche o banche dati che includano informazioni sui servizi e prodotti acquistati.

b) descrivere le categorie di trattamenti effettuati rinviando a schede di servizio o documentazione tecnica dei prodotti e servizi forniti, in modo da soddisfare i requisiti dell’articolo 30, paragrafo 2, del GDPR.

Quando il produttore del software agisce come Sub-Responsabile per un cliente che, a sua volta, opera come Responsabile del trattamento per conto di un Titolare terzo, il registro delle attività del produttore deve indicare esclusivamente il cliente diretto (Responsabile) con cui è stato stipulato il contratto di servizi e l’Accordo sul trattamento dei dati. Non è necessario includere il nominativo del Titolare terzo, poiché il produttore non ha una relazione contrattuale diretta con quest’ultimo e l’identificazione sarebbe complessa e sproporzionata.

In conformità all’articolo 30, paragrafo 1, del GDPR, il produttore del software deve comunque mantenere e aggiornare un registro separato delle attività di trattamento svolte in qualità di Titolare del trattamento.

Collaborazione tra produttore e cliente

Il produttore del software, nell’ambito delle proprie responsabilità e tenendo conto della natura dei dati trattati, del tipo di trattamento effettuato e delle informazioni disponibili, collabora con il cliente per aiutarlo a rispettare gli obblighi legali in materia di analisi dei rischi e valutazione d’impatto sulla protezione dei dati.

A tal fine, fornisce informazioni dettagliate sulle caratteristiche tecniche, sul funzionamento del software gestionale e sulle relative funzionalità e misure di sicurezza.

Questa collaborazione può includere, oltre alle informazioni già fornite nel contratto di servizio e nell’accordo sul trattamento dei dati, la consegna di:

• Certificazioni e attestazioni basate su standard di settore.
• Documentazione tecnica e di sicurezza specifica predisposta dal produttore.

L’implementazione da parte del produttore delle misure descritte negli Allegati A e B è progettata per semplificare le valutazioni che i clienti devono effettuare ai sensi degli articoli 24, 25, 32 e 35 del GDPR. Il riferimento agli standard internazionali e alle normative tecniche pertinenti negli Allegati A e B consente ai clienti di verificare autonomamente la conformità del software gestionale rispetto alle misure richieste.

In qualità di Titolare del trattamento, come previsto nell’articolo 8, il produttore del software è tenuto a rispettare gli obblighi di legge relativi all’analisi dei rischi, all’adozione di misure tecniche e organizzative adeguate e alla valutazione d’impatto sulla protezione dei dati, conformemente agli articoli 24, 25, 35 e 36 del GDPR.

Il produttore del software, oltre a rispettare le misure definite nell’Allegato A, garantisce l’applicazione delle misure aggiuntive previste nell’Allegato B durante l’erogazione dei servizi. Tuttavia, nel caso di utilizzo del software gestionale in modalità on-premise, il produttore non è responsabile della protezione delle infrastrutture, dei sistemi e dei dispositivi del cliente utilizzati per accedere al software. Ciò include, ad esempio, la gestione dei backup dei dati personali o la protezione dell’infrastruttura contro malware.

Ogni modifica o aggiornamento apportato al software gestionale dal produttore, anche per adeguarsi all’evoluzione tecnologica, non deve mai compromettere il livello complessivo di sicurezza dei servizi forniti e delle attività svolte.

Il produttore del software fornisce una descrizione chiara e trasparente delle misure di sicurezza adottate, consentendo al cliente di verificare se il software gestionale acquistato soddisfa le proprie esigenze e requisiti in termini di sicurezza.

Cosa fare se il produttore svolge attività di amministratore di sistema

Se il produttore svolge attività tecniche che rientrano nelle funzioni di amministratore di sistema, come indicato nell’articolo 4.4, è tenuto ad adottare misure tecniche e organizzative appropriate. Queste devono essere conformi al Provvedimento del Garante relativo agli amministratori di sistema e rispettare le condizioni stabilite nell’Accordo sul trattamento dei dati personali con il cliente.

Sicurezza dei dati

In qualità di Titolare del trattamento, nei casi indicati nell’articolo 8, il produttore è obbligato a rispettare quanto previsto dall’articolo 32 del GDPR, adottando misure tecniche e organizzative per garantire la sicurezza dei dati trattati.

Il produttore del software adotta una procedura documentata per la gestione degli incidenti di sicurezza che potrebbero configurarsi come violazioni dei dati personali (Data Breach), secondo quanto definito dall’articolo 4, paragrafo 1, numero 12, del GDPR. La procedura specifica: le azioni che il produttore, in qualità di Responsabile del trattamento, deve intraprendere e le informazioni da fornire ai clienti per consentire loro di adempiere agli obblighi previsti dagli articoli 33 e 34 del GDPR.

La procedura deve inoltre assicurare: il coinvolgimento tempestivo del Responsabile della Protezione dei Dati (DPO) e delle funzioni interne rilevanti (es. assistenza tecnica, IT, ricerca e sviluppo) e l’adozione rapida di misure per contenere o ridurre l’impatto dell’incidente sui trattamenti in corso.

Se, in seguito a verifiche interne, si conferma con ragionevole certezza che si è verificata una violazione, il produttore del software deve informare il cliente senza ingiustificato ritardo, preferibilmente entro 48 ore. Tuttavia:

• Il cliente, come Titolare del trattamento, è responsabile di determinare se l’incidente costituisca un Data Breach e se sia necessario notificare l’Autorità di controllo e comunicare la violazione agli interessati, come richiesto dagli articoli 33 e 34 del GDPR.
• Se il cliente agisce come Responsabile per conto di un Titolare del trattamento, è suo dovere informare tempestivamente quest’ultimo dopo aver ricevuto la comunicazione dell’incidente dalla SWH, che opera come Sub-Responsabile.

I produttori del software devono garantire che i Sub-Responsabili utilizzati per l’erogazione dei servizi rispettino le stesse procedure. I Sub-Responsabili devono informare la SWH di eventuali incidenti di sicurezza senza ritardi ingiustificati e, se possibile, entro 48 ore.

Gli obblighi di notifica degli incidenti di sicurezza

Quando il produttore del software agisce come Titolare del trattamento, deve rispettare gli obblighi relativi alla notifica degli incidenti di sicurezza e alla comunicazione agli interessati, come stabilito dagli articoli 33 e 34 del GDPR, conformemente a quanto previsto nell’articolo 8 del presente Codice.

Il produttore del software garantisce che il personale autorizzato al trattamento dei dati personali:

• sia vincolato al rispetto di obblighi di riservatezza, validi anche dopo la cessazione del rapporto di lavoro.
• abbia accesso esclusivamente ai dati strettamente necessari per svolgere le proprie mansioni.
• riceva istruzioni chiare e adeguate sulle attività di trattamento assegnate, sulle procedure da seguire e sui diritti previsti dal GDPR.

Il produttore è inoltre tenuto a mantenere una documentazione dettagliata che comprenda:

• l’identificazione delle persone autorizzate al trattamento.
• le istruzioni impartite a tali soggetti.
• la formazione fornita.

La formazione del personale autorizzato

La formazione del personale autorizzato è erogata dal produttore del software con l’obiettivo di promuovere la conoscenza e il rispetto delle normative sulla protezione e sicurezza dei dati personali. La formazione: può essere svolta attraverso diverse modalità, tra cui sessioni in presenza, e-learning e formazione a distanza (FAD) ed è ripetuta periodicamente, considerando fattori come cambiamenti tecnologici, aggiornamenti normativi o modifiche organizzative.

Il produttore del software si impegna a supportare il cliente, in qualità di Titolare del trattamento, nell’adempimento delle richieste degli interessati relative ai diritti previsti dal capo III del GDPR. Questo supporto può includere, ove tecnicamente possibile e in base alle caratteristiche del software gestionale, la disponibilità di funzionalità che consentano al cliente di:

• Rettificare, cancellare, accedere ai dati personali.
• Estrapolare o esportare i dati in un formato strutturato, leggibile da una macchina.
• Limitare il trattamento dei dati.

Il produttore fornirà anche spiegazioni e informazioni sulle funzionalità disponibili, incluse nella documentazione tecnica resa al cliente in ambito contrattuale. Qualora non sia possibile integrare tali funzionalità nel software, tenendo conto dello stato dell’arte e dei costi di implementazione, il produttore si impegna a fornire al cliente l’assistenza necessaria per gestire le richieste degli interessati.

Se un interessato invia direttamente al produttore del software una richiesta relativa al trattamento di dati personali svolto per conto del cliente, il produttore, in qualità di Responsabile del trattamento:

• Può indirizzare l’interessato a contattare il cliente, in quanto Titolare del trattamento.
• Deve comunque notificare al cliente la richiesta ricevuta entro un termine ragionevole, non superiore a 10 giorni lavorativi.

Indipendentemente dal destinatario iniziale della richiesta (cliente o produttore), quest’ultimo si impegna a collaborare con il cliente fornendo tutte le informazioni utili e disponibili per gestire la richiesta dell’interessato.

Le disposizioni relative ai diritti degli interessati

Nei casi in cui il produttore del software agisca come Titolare del trattamento (come descritto nell’articolo 8), è obbligato a rispettare le disposizioni del GDPR relative ai diritti degli interessati, previste dagli articoli 15-22.

Nell’ambito dei servizi regolati dal presente Codice, il produttore del software si impegna a trattare i dati personali utilizzando, di norma, infrastrutture e piattaforme situate all’interno dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE). Tuttavia, qualora per esigenze tecniche o organizzative sia necessario ricorrere a infrastrutture situate in Paesi terzi al di fuori della UE/SEE o a Sub-Responsabili che operano in tali Paesi, il produttore si impegna a:

• Garantire che i dati siano trattati esclusivamente in Paesi terzi che:
• • Abbiano ricevuto dalla Commissione Europea una decisione di adeguatezza sul livello di protezione dei dati personali (art. 45 del GDPR).
  • Applichino garanzie appropriate o rispettino le condizioni stabilite dagli articoli 46 e seguenti del GDPR.

• Utilizzare Sub-Responsabili che trattano i dati all’interno dei Paesi suddetti, senza eseguire trasferimenti di dati personali al di fuori della UE/SEE, salvo previo accordo con il cliente e a condizione che vengano adottate adeguate misure di salvaguardia o garanzie aggiuntive, se necessarie.

Il produttore del software si impegna a informare in anticipo il cliente riguardo a qualsiasi attività o servizio che possa comportare il trasferimento di dati personali verso Paesi terzi. Questa comunicazione includerà: il Paese di destinazione e le garanzie adottate in conformità agli articoli 44-49 del GDPR.

Tali informazioni permettono al cliente, in qualità di Titolare del trattamento, di fornire le istruzioni necessarie e mantenere documentazione adeguata per dimostrare le misure adottate.

Nel caso in cui il produttore del software agisca come Titolare del trattamento, deve rispettare gli obblighi previsti dagli articoli 44-49 del GDPR per i trasferimenti di dati verso Paesi terzi.

Conservazione dei dati personali trattati per conto del cliente

Il produttore del software conserva i dati personali trattati per conto del cliente, in qualità di Responsabile del trattamento, per tutta la durata dei servizi forniti e comunque non oltre il tempo necessario per la loro erogazione, oppure per il periodo stabilito contrattualmente. La conservazione avviene in conformità alle istruzioni fornite dal cliente e agli accordi contenuti nell’Accordo sul trattamento dei dati personali.

Alla cessazione dei servizi, indipendentemente dalla causa, o in base agli accordi con il cliente, il produttore è obbligato a cancellare i dati personali dai propri sistemi o da quelli sotto il suo controllo, rispettando i termini previsti dal contratto. Prima di procedere alla cancellazione definitiva, il produttore garantisce al cliente un periodo minimo di 30 giorni per accedere ai dati, estrarli o richiederne una copia, seguendo le modalità concordate.

Il produttore del software può conservare i dati personali oltre i termini indicati in casi specifici, quali:

• Per adempiere a obblighi previsti da leggi italiane o europee legati ai servizi svolti.
• Quando la conservazione è giustificata da esigenze legittime, trasparenti e necessarie, ad esempio: per la difesa o la tutela in ambito giudiziario e per dimostrare o implementare misure di sicurezza adottate nell’erogazione dei servizi.

Il cliente deve poter verificare che il produttore del software rispetti gli obblighi previsti dal presente Codice di condotta e dal GDPR. A tal fine, il produttore si impegna a:

• Rispondere prontamente, nei tempi e modi definiti nell’Accordo sul trattamento dei dati personali (articolo 6), alle richieste del cliente relative a informazioni che dimostrino la conformità agli obblighi assunti come Responsabile del trattamento.
• Fornire tutte le informazioni necessarie per dimostrare la conformità alle disposizioni del GDPR.
• Consentire al cliente di effettuare verifiche sul trattamento dei dati eseguito dal produttore, in linea con quanto stabilito dall’articolo 28, paragrafo 3, lettera h), del GDPR.

Il diritto di verifica delle misure di sicurezza e protezione dei dati

Il produttore del software può scegliere di affidare la verifica delle misure di sicurezza e protezione dei dati a revisori indipendenti. In questo caso, il cliente può esercitare il diritto di verifica attraverso i report forniti da tali auditor, che sono considerati informazioni riservate del produttore. Per essere validi, questi audit devono rispettare i seguenti requisiti:

a) devono essere condotti secondo standard di sicurezza riconosciuti (ad esempio, ISO/IEC 27001, 27701, 27017, 27018 o linee guida OWASP) da professionisti qualificati e indipendenti, certificati o con esperienza comprovata.

b) devono essere documentati in un rapporto di audit interno, da cui sarà fornita al cliente una sintesi che rispetti la riservatezza, la sicurezza e il segreto industriale del produttore. Questa sintesi consente al cliente di verificare che il produttore abbia adempiuto ai suoi obblighi di sicurezza e protezione dei dati.

Il rapporto di audit sarà conservato dal produttore per almeno 12 mesi e sarà reso disponibile all’Organismo di Monitoraggio su richiesta.

Come si aderisce al codice di condotta

I produttori di software, anche quelli non associati ad Assosoftware, possono richiedere di aderire al Codice di condotta per uno o più software gestionali da loro sviluppati, qualora ritengano che tali software rispettino i requisiti previsti. Per aderire, devono inviare la richiesta all’Organismo di Monitoraggio (OdM), utilizzando le modalità, i moduli e la documentazione indicati nell’Allegato E del Codice.

L’OdM verifica:

1. La completezza e regolarità della domanda e della documentazione presentata.
2. La conformità del software gestionale agli standard del Codice, basandosi sul questionario di autovalutazione compilato dal produttore e sulla dichiarazione di rispetto degli impegni previsti.
3. L’assenza di impedimenti all’adesione del produttore richiedente.

Se necessario, l’OdM può richiedere ulteriori documenti o informazioni per completare o correggere la domanda.

Entro 30 giorni dalla ricezione della domanda, se la verifica ha esito positivo, l’OdM comunica al produttore l’accettazione della richiesta di adesione per il software gestionale specificato. Contemporaneamente, informa il Garante per aggiornare il registro previsto dall’articolo 40, paragrafo 6, del GDPR. Per il primo anno successivo all’approvazione del Codice di condotta e all’accreditamento dell’OdM, questo termine è esteso a 120 giorni, per consentire all’OdM di organizzarsi e gestire un elevato numero di richieste iniziali.

Nel caso in cui la domanda di adesione venga respinta, l’OdM deve motivare il rifiuto. Il produttore potrà ripresentare una nuova domanda dopo almeno un anno, allegando una nota che spieghi le misure adottate per risolvere le problematiche che avevano causato il diniego.

L’elenco dei produttori che aderiscono al Codice di condotta è reso pubblico attraverso un sito web dedicato, gestito dall’OdM.

Il Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale rappresenta un modello innovativo di conformità e responsabilità, capace di coniugare le esigenze di innovazione tecnologica con la tutela dei diritti fondamentali legati alla protezione dei dati personali. La sua adozione non solo eleva gli standard qualitativi del settore, ma rafforza la fiducia degli utenti, favorendo la competitività delle imprese italiane, in particolare delle PMI, che possono beneficiare di soluzioni tecnologiche avanzate, sicure e conformi al GDPR. Questo strumento, basato su principi di privacy by design e by default, evidenzia come la regolamentazione possa divenire un catalizzatore di sviluppo, favorendo una digitalizzazione responsabile e sostenibile nel panorama economico e tecnologico italiano.