I trattamenti dei dati da parte dei fornitori di servizi software
Sono passati ormai più di due anni da quando il Gdpr è entrato pienamente in vigore e tra i soggetti protagonisti della nuova normativa ci sono certamente i fornitori di software ma non sempre è facile individuare ruoli e responsabilità nel trattamento dei dati ad essi affidati.
Con riferimento a quest’ultimi, possono verificarsi diversi scenari ed è pertanto necessario valutare caso per caso le diverse fattispecie.
Un primo discrimine è dato dalla diversa modalità di erogazione del servizio: in alcuni casi è fornito in cluod in altri è on premise.
-
Nel primo caso, il fornitore si avvale di un data center per erogare tramite web a più clienti il servizio software. I soggetti coinvolti nel trattamento saranno oltre al fornitore, i gestori del data center e l’organizzazione che fornisce assistenza all’uso della procedura software. Entrano in gioco pertanto, anche altri soggetti dei quali sarà necessario valutare la conformità al Gdpr e a seconda dei casi concreti sarà necessario disciplinare con gli stessi l’applicazione delle necessarie misure di sicurezza oppure sarà il fornitore principale a fornire le garanzie adeguate affinché il trattamento dei dati in cluod sia conforme al Regolamento.
- Nel secondo caso, il fornitore di software installa l’applicazione sul server del titolare, in questo caso si dovranno disciplinare le modalità e garanzie del trattamento dei dati da parte del fornitore o della struttura che fornisce assistenza a seguito di richiesta del titolare, mentre sarà compito di quest’ultimo attuare direttamente o tramite struttura esterna tutte le necessarie misure di sicurezza a tutela dei dati contrattualizzando i relativi compiti.
Anche da un punto di vista operativo, possono verificarsi diverse situazioni. In alcuni casi, si riscontra una certa reticenza da parte dei fornitori di software a sottoscrivere contratti o nomine a “Responsabili del trattamento dei dati” oppure sono gli stessi titolari del trattamento a considerare con superficialità le clausole contrattuali che disciplinano le modalità e le garanzie del trattamento dei dati ad essi affidati, valutando nella scelta del fornitore solo le caratteristiche tecniche del prodotto e il suo costo.
Per i fornitori di software occorre valutare caso per caso la configurazione del ruolo ai fini privacy
Nella maggior parte dei casi è, invece, il fornitore stesso a standardizzare regole sul trattamento dei dati soprattutto quando il software è realizzato da un soggetto contrattualmente forte ed è destinato ad un numero potenzialmente elevato di Clienti.
Tuttavia anche in assenza di un contratto o di una formale nomina a responsabile del trattamento dai principi generali di correttezza e buona fede sanciti dagli artt. 1175 e 1375 del c.c. emerge che il fornitore di software ha una responsabilità civile di informazione nonché è possibile ravvisare obblighi di cooperazione e collaborazione con il titolare affinché lo stesso possa usufruire di un servizio a norma.
Anche per il Gdpr, i fornitori di software assumono un ruolo attivo nell’applicazione dei principi del data protection by default and by design laddove nella fase di progettazione sono chiamati a prevedere criteri e vincoli tali da consentire al titolare e ai suoi incaricati una utilizzazione conforme al Regolamento.
Nello stesso tempo è necessario però considerare che gli stessi non possono considerarsi responsabili nel caso in cui il titolare e i suoi incaricati non utilizzino in modo lecito le applicazioni o disattendano le regole di sicurezza che sono chiamati ad applicare a tutela dei dati.
Inoltre, i soggetti coinvolti nell’erogazione dei servizi software possono essere diversi e diversi possono essere i compiti ad essi affidati.
Sarà pertanto, sempre utile individuare attraverso un contratto o altro atto giuridico vincolante ruoli e responsabilità in relazione alle attività e ai trattamenti concreti che i fornitori dei diversi servizi software sono chiamati a svolgere, senza dimenticare che le applicazioni software così come le procedure di sicurezza si inseriscono in processi aziendali in cui la carta vincente è l’applicazione da parte del titolare del principio di accountability.
FONTE: Federprivacy - Avv. Emanuela Tiziana Del Vecchio