Il Codice di condotta, promosso ed elaborato dai produttori di software gestionali “Software house” o “SWH” associati ad Assosoftware, si applica solo ai richiedenti che trattano dati personali nelle attività di progettazione e sviluppo nonché di installazione, test, collaudo, assistenza, manutenzione e aggiornamento dei software gestionali, sia on premise che in cloud, esclusivamente su base nazionale.
Non si applica ai trattamenti di dati personali connessi ad attività secondarie e non relative alle SWH quali il trattamento dei dati dei dipendenti nell'ambito dei rapporti di lavoro o attività di marketing diretto né ad attività di trattamento svolte su richiesta e per conto del cliente, per gestione contabile, amministrativa, retributiva, previdenziale, assistenziale e fiscale. Obiettivo definire un sistema uniforme ed avanzato di regole di condotta e adeguate misure tecniche e organizzative in relazione all'intero ciclo di vita dei prodotti, conforme ai principi di privacy by design e by default ed alla vigente ed applicabile normativa privacy. Ruolo della SWH. Titolare e/o Responsabile del trattamento? La SWH agisce come titolare del trattamento quando gestisce dati personali riferiti a clienti, siano essi persone fisiche o persone fisiche che sono rappresentanti, referenti, dipendenti, collaboratori dei clienti, per le proprie attività amministrative, contabili e tecniche, strumentali alla gestione del rapporto contrattuale. Invece, la SWH opera come responsabile del trattamento quando tratta dati personali per conto di un cliente che agisce come titolare del trattamento, nel caso di servizi nei contesti on premise e in cloud. In tali situazioni, la SWH può anche rivestire il ruolo di sub-responsabile se il cliente stesso è responsabile del trattamento per conto di un terzo. Rispetto ai servizi on premise, sono previsti alcuni caveat i la SWH opera quale responsabile solo nell'ambito di attività tecniche connesse alla installazione, assistenza e manutenzione del software gestionale che possano comportare un trattamento di dati personali es. esportazione e copia di dati personali del cliente per verificare criticità tecniche e per attività di assistenza e manutenzione ii il personale incaricato dal produttore del software per le attività di assistenza e manutenzione continuativa opera quale amministratore di sistema iii le attività di salvataggio e ripristino dei dati personali nonché tutte quelle attività necessarie alla protezione della sicurezza fisica e logica dell'infrastruttura su cui il software è installato sono escluse dalla responsabilità della SWH e restano a carico del cliente. In relazione alla nomina della SWH come responsabile del trattamento, nell'Allegato C è stato inserito, a titolo esemplificativo e non vincolante, lo schema di accordo sul trattamento dei dati personali con il cliente, definito anche alla luce delle linee guida dell'European Data Protection Board 7/2020 sul titolare e responsabile del trattamento. Misure di sicurezza Il Codice di condotta prevede due allegati relativi alle misure di sicurezza che le SWH dovranno implementare. Nell'Allegato A, sono indicate le misure tecniche e organizzate che dovranno essere adottate nelle attività di progettazione e sviluppo dei software gestionali nel rispetto dei principi di privacy by design e by deafult. L'Allegato B, invece, include le misure di sicurezza da adottare per i servizi on premise e in cloud. Le misure di sicurezza potranno essere riesaminate e aggiornate periodicamente alla luce dell'evoluzione tecnologica e degli scenari di rischio. In caso di servizi on premise, la SWH non è tenuta all'implementazione di misure idonee a proteggere le infrastrutture, i sistemi e i dispositivi utilizzati dal cliente per accedere al software gestionale a titolo esemplificativo e non esaustivo, le attività di salvataggio e backup dei dati personali e protezione dell'infrastruttura da malware . Resta fermo l'impegno della SWH a descrivere le misure di sicurezza implementate al cliente che ve valuterà l'adeguatezza e la compatibilità rispetto alle proprie necessità e requisiti di sicurezza. Gli incidenti di sicurezza La SWH deve adottare una procedura documentata che prevede azioni specifiche da intraprendere per incidenti che possono essere qualificati come violazione dei dati personali. In caso di appurata e accertata violazione dei dati personali, la SWH deve informare il cliente senza ingiustificato ritardo, ove possibile entro 48 ore, restando fermo che sarà il cliente a valutare se l'incidente costituisce una violazione dei dati personali e se è necessaria la notifica all'Autorità di controllo e ai soggetti interessati. Assistenza nella gestione delle richieste di esercizio dei diritti degli interessati Ove tecnicamente possibile, la SWH fornisce al cliente gli strumenti per tutte le attività propedeutiche a rettificare, cancellare, accedere, estrapolare o esportare ove necessario, in un formato strutturato, comunemente usato e leggibile da una macchina i dati personali trattati. In caso di ricezione di richieste da parte degli interessati, la SWH può invitare l'interessato a rivolgersi al cliente o comunicare al cliente stesso la richiesta senza indugio, entro un termine ragionevole non superiore a dieci giorni lavorativi dalla ricezione. Trasferimenti di dati in paesi terzi La SWH si impegna di regola a trattare dati personali mediante server e piattaforme situati in UE. Ove sia necessario il trasferimento dei dati personali in paesi terzi al di fuori della UE, la SWH e/o suoi sub-responsabili si impegnano ad operare solo in paesi riconosciuti adeguati dalla Commissione Europea per il livello di tutela dei dati personali o dove siano applicabili garanzie adeguate previste dagli articoli 45-49 GDPR. Prima di effettuare qualsiasi trasferimento di dati extra-UE, la SWH deve informare il cliente riguardo alle specifiche attività che comportano un trasferimento di dati e ai paesi di destinazione, assicurando la messa in atto di documentate garanzie adeguate. Termine di conservazione dei dati personali La SWH può conservare i dati personali trattati per tutta la durata dei servizi forniti e non deve superare il tempo necessario per la loro erogazione o quello contrattualmente pattuito con il cliente. Dopo la cessazione del contratto, la SWH deve cancellare i dati personali dai propri server o da quelli controllati. Tuttavia, prima di effettuare la cancellazione, la SWH deve mantenere i dati a disposizione del cliente per un periodo non inferiore a 30 giorni, per consentire al cliente di estrarli o richiederne copia. Inoltre, la SWH può conservare i dati necessari per adempiere a obblighi legali e/o necessità esplicite e legittime della SWH es. tutela giudiziaria anche oltre i termini indicati sopra. Validità e riesame del Codice Il Codice di condotta è in vigore dal giorno successivo alla pubblicazione in Gazzetta Ufficiale e quindi dal 28 novembre. Il rispetto del Codice di condotta è garantito da un apposito organismo di monitoraggio, accreditato dal Garante Privacy e il cui incarico ha durata quinquennale, non rinnovabile. Assosoftware può presentare proposta di riesame del Codice di condotta al Garante Privacy, in qualsiasi momento, su impulso dell'organismo di monitoraggio e/o alla luce di novità normative e/o prassi applicative.
Delibera 17 ottobre 2024