Via libera al Codice di condotta per i produttori di software gestionali: lo annuncia il Garante della Privacy in una recente nota che adotta e ratifica il provvedimento.
L’Autorità ha dato il via libera al Codice di condotta di Assosoftware, Associazione italiana dei produttori di software in Italia, che riguarda il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione dei software gestionali (SWH).
Tali software, destinati ad aziende, associazioni, professionisti e pubblica amministrazione, vengono utilizzati per l’assolvimento degli obblighi fiscali e previdenziali, assistenziali e gestionali, la redazione dei bilanci, la gestione del personale e gli adempimenti societari, con un impatto dunque notevole sugli aspetti relativi alla protezione dei dati personali.
In particolare, consentono:
- l’automazione dei processi interni delle imprese relativi alla gestione delle fatturazioni, dei rapporti con i clienti
- mentre per i professionisti, la gestione delle attività di contabilità, tributarie, lavoristiche, legali.
Garante Privacy: ok a Codice di Condotta per i produttori di software gestionali
In considerazione della delicatezza dei dati trattati, il Codice si propone di definire una serie di regole e di misure tecniche ed organizzative affinché i software prodotti e resi disponibili sul mercato dalle imprese aderenti ad Assosoftware siano sviluppati nel rispetto dei principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default).
Ciò al fine di favorire il rispetto del Regolamento Ue in materia di privacy (GDPR) e di rendere disponibili ai clienti idonei strumenti per adempiere agli obblighi di protezione dei dati riguardo ai trattamenti svolti tramite i software.
Oltre ad approvare il Codice di condotta, l’Autorità ha anche accreditato il relativo Organismo di monitoraggio, composto da esperti nel settore dell’ICT, con particolare riferimento ai profili di protezione dei dati personali.
Perché è importante?
I software gestionali sono diventati strumenti indispensabili per le imprese di ogni dimensione, dalle piccole aziende ai grandi gruppi. Questi programmi contengono una grande quantità di dati sensibili, come informazioni sui clienti, sulle transazioni commerciali e sui dipendenti. È quindi fondamentale che questi dati siano protetti da accessi non autorizzati e da eventuali perdite.
Cosa prevede il nuovo codice?
Il codice di condotta definisce una serie di regole e misure tecniche che le aziende devono rispettare durante tutto il ciclo di vita del software, dalla progettazione alla manutenzione.
Protezione dei dati fin dalla progettazione (privacy by design)
Questo principio cardine del GDPR viene declinato nel codice di condotta in modo molto specifico. Significa che la sicurezza dei dati deve essere integrata fin dalle prime fasi di sviluppo del software, e non aggiunta come un “optional” in un secondo momento.
- Valutazione d’impatto sulla protezione dei dati (DPIA): Prima di sviluppare un nuovo software o apportare modifiche significative a uno esistente, le aziende devono condurre una DPIA per identificare i potenziali rischi per la privacy e mettere in atto misure preventive.
- Minimizzazione dei dati: I software dovrebbero essere progettati per raccogliere e trattare solo i dati strettamente necessari per la loro funzionalità, evitando così di accumulare informazioni inutili che potrebbero essere oggetto di attacchi o violazioni.
- Pseudonimizzazione e crittografia: L’utilizzo di tecniche di pseudonimizzazione e crittografia può contribuire a rendere i dati meno identificabili e quindi più difficili da violare.
- Architettura sicura: L’infrastruttura IT su cui viene eseguito il software deve essere progettata con criteri di sicurezza elevati, per prevenire attacchi informatici e garantire la continuità operativa.
Trasparenza
La trasparenza è un altro pilastro fondamentale del GDPR. Le aziende devono essere chiare e complete nell’informare i loro clienti su come vengono utilizzati i loro dati.
- Informativa privacy chiara e concisa: Le aziende devono fornire ai clienti un’informativa privacy chiara e comprensibile, che spieghi in modo semplice quali dati vengono raccolti, per quali finalità, e quali sono i diritti degli interessati (ad esempio, il diritto di accesso, rettifica, cancellazione).
- Registri delle attività di trattamento: Le aziende devono tenere un registro dettagliato di tutte le operazioni di trattamento dei dati, per dimostrare la loro conformità al GDPR in caso di controlli da parte dell’autorità garante.
- Comunicazione delle violazioni di dati: In caso di violazione dei dati personali, le aziende devono comunicarlo all’autorità garante e agli interessati entro 72 ore, se la violazione è suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche.
Protezione dei dati fin dalla progettazione (privacy by design)
Questo principio cardine del GDPR viene declinato nel codice di condotta in modo molto specifico. Significa che la sicurezza dei dati deve essere integrata fin dalle prime fasi di sviluppo del software, e non aggiunta come un “optional” in un secondo momento.
- Valutazione d’impatto sulla protezione dei dati (DPIA): Prima di sviluppare un nuovo software o apportare modifiche significative a uno esistente, le aziende devono condurre una DPIA per identificare i potenziali rischi per la privacy e mettere in atto misure preventive.
- Minimizzazione dei dati: I software dovrebbero essere progettati per raccogliere e trattare solo i dati strettamente necessari per la loro funzionalità, evitando così di accumulare informazioni inutili che potrebbero essere oggetto di attacchi o violazioni.
- Pseudonimizzazione e crittografia: L’utilizzo di tecniche di pseudonimizzazione e crittografia può contribuire a rendere i dati meno identificabili e quindi più difficili da violare.
- Architettura sicura: L’infrastruttura IT su cui viene eseguito il software deve essere progettata con criteri di sicurezza elevati, per prevenire attacchi informatici e garantire la continuità operativa.
Trasparenza
La trasparenza è un altro pilastro fondamentale del GDPR. Le aziende devono essere chiare e complete nell’informare i loro clienti su come vengono utilizzati i loro dati.
Cosa comporta nella pratica?
- Informativa privacy chiara e concisa: Le aziende devono fornire ai clienti un’informativa privacy chiara e comprensibile, che spieghi in modo semplice quali dati vengono raccolti, per quali finalità, e quali sono i diritti degli interessati (ad esempio, il diritto di accesso, rettifica, cancellazione).
- Registri delle attività di trattamento: Le aziende devono tenere un registro dettagliato di tutte le operazioni di trattamento dei dati, per dimostrare la loro conformità al GDPR in caso di controlli da parte dell’autorità garante.
- Comunicazione delle violazioni di dati: In caso di violazione dei dati personali, le aziende devono comunicarlo all’autorità garante e agli interessati entro 72 ore, se la violazione è suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche.
Misure tecniche
Le misure tecniche sono gli strumenti concreti che le aziende mettono in atto per proteggere i dati.
- Firewall e sistemi di intrusion detection: Questi sistemi servono a proteggere le reti aziendali da accessi non autorizzati.
- Sistemi di autenticazione a più fattori: L’autenticazione a più fattori (ad esempio, username, password e token) rende più difficile per gli hacker accedere ai sistemi.
- Backup regolari: I backup regolari dei dati consentono di ripristinare le informazioni in caso di perdita o danneggiamento.
- Software antivirus e antimalware: Questi software proteggono i sistemi da virus, malware e altre minacce informatiche.
- Gestione delle patch: È fondamentale mantenere aggiornato il software con le ultime patch di sicurezza per correggere eventuali vulnerabilità.
Il testo del nuovo codice
Il Codice è pubblicato nella Gazzetta ufficiale n.278 del 27 novembre.