NEWS

I trattamenti dei dati da parte dei fornitori di servizi software

Sono passati ormai più di due anni da quando il Gdpr è entrato pienamente in vigore e tra i soggetti protagonisti della nuova normativa ci sono certamente i fornitori di software ma non sempre è facile individuare ruoli e responsabilità nel trattamento dei dati ad essi affidati. Con riferimento a quest’ultimi, possono verificarsi diversi scenari ed è pertanto necessario valutare caso per caso le diverse fattispecie.

Emanuela Tiziana Del Vecchio, Delegato Federprivacy nella provincia di Pesaro

(Nella foto: l'Avv. Emanuela Tiziana Del Vecchio, Delegato Federprivacy nella provincia di Pesaro Urbino)

Un primo discrimine è dato dalla diversa modalità di erogazione del servizio: in alcuni casi è fornito in cluod in altri è on premise.

Nel primo caso, il fornitore si avvale di un data center per erogare tramite web a più clienti il servizio software. I soggetti coinvolti nel trattamento saranno oltre al fornitore, i gestori del data center e l’organizzazione che fornisce assistenza all’uso della procedura software. Entrano in gioco pertanto, anche altri soggetti dei quali sarà necessario valutare la conformità al Gdpr e a seconda dei casi concreti sarà necessario disciplinare con gli stessi l’applicazione delle necessarie misure di sicurezza oppure sarà il fornitore principale a fornire le garanzie adeguate affinché il trattamento dei dati in cluod sia conforme al Regolamento.

Nel secondo caso, il  fornitore di software installa l’applicazione sul server del titolare, in questo caso si dovranno disciplinare le modalità e garanzie del trattamento dei dati da parte del fornitore o della struttura che fornisce assistenza a seguito di richiesta del titolare, mentre sarà compito di quest’ultimo attuare direttamente o tramite struttura esterna tutte le necessarie misure di sicurezza a tutela dei dati contrattualizzando i relativi compiti. 

Anche da un punto di vista operativo, possono verificarsi diverse situazioni. In alcuni casi, si riscontra una certa reticenza da parte dei fornitori di software a sottoscrivere contratti o nomine a “Responsabili del trattamento dei dati” oppure sono gli stessi titolari del trattamento a considerare con superficialità le clausole contrattuali che disciplinano le modalità e le garanzie del trattamento dei dati ad essi affidati, valutando nella scelta del fornitore solo le caratteristiche tecniche del prodotto e il suo costo.

Per i fornitori di software occorre valutare caso per caso la configurazione del ruolo ai fini privacy

Nella maggior parte dei casi è, invece, il fornitore stesso a standardizzare regole sul trattamento dei dati soprattutto quando il software è realizzato da un soggetto contrattualmente forte ed è destinato ad un numero potenzialmente elevato di Clienti.

Tuttavia anche in assenza di  un contratto o di una formale nomina a responsabile del trattamento dai principi generali di correttezza e buona fede sanciti dagli artt. 1175 e 1375 del c.c. emerge che il fornitore di software ha una responsabilità civile di informazione nonché è possibile ravvisare obblighi di cooperazione e collaborazione con il titolare affinché lo stesso possa usufruire di un servizio a norma.

Anche per il Gdpr, i fornitori di software assumono un ruolo attivo nell’applicazione dei principi del data protection by default and by design laddove nella fase di progettazione sono chiamati a prevedere criteri e vincoli tali da consentire al titolare e ai suoi incaricati una utilizzazione conforme al Regolamento.

Nello stesso tempo è necessario però considerare che gli stessi non possono considerarsi responsabili nel caso in cui il titolare e i suoi incaricati non utilizzino in modo lecito le applicazioni o disattendano le regole di sicurezza che sono chiamati ad applicare a tutela dei dati.

Inoltre, i soggetti coinvolti nell’erogazione dei servizi software possono essere diversi e diversi possono essere i compiti ad essi affidati.

Sarà pertanto, sempre utile individuare attraverso un contratto o altro atto giuridico vincolante ruoli e responsabilità in relazione alle attività e ai trattamenti concreti che i fornitori dei diversi servizi software sono chiamati a svolgere, senza dimenticare che le applicazioni software così come le procedure di sicurezza si inseriscono in processi aziendali in cui la carta vincente è l’applicazione da parte del titolare del principio di accountability.

Note Autore

Emanuela Tiziana Del Vecchio Emanuela Tiziana Del Vecchio

Avvocato, Privacy Officer e Consulente della Privacy certificato TÜV, Delegato Federprivacy nella provincia di Pesaro-Urbino

Prev Ecco come privacy by design e privacy by default tracciano la cookie law
Next Perimetro di sicurezza nazionale cibernetica: dalla forma alla sostanza

Privacy Officer: come si svolgono gli esami di Certificazione TÜV

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy