Produttore di software e nomina a responsabile del trattamento dati | Linee guida
News | 06.11.2020
Indice dei contenuti
1. Chi è il “vero” titolare del trattamento dei dati
2. Cosa disciplina il contratto
3. Cosa può fare la software house
4. L’importanza di costruire un modello di trattamento dati efficace e conforme alla normativa
Come spesso erroneamente si crede, il produttore di software non è il titolare del trattamento dati ai sensi del Regolamento generale sulla protezione dei dati, anche noto come GDPR (General Data Protection Regulation).
1. Chi è il “vero” titolare del trattamento dei dati
Questo significa che la software house non può definire in autonomia le specifiche finalità per cui i dati personali sono trattati.
Invero, è il titolare del trattamento dati (nella fattispecie il cliente) che istruisce la software house in merito alle attività che deve porre in essere con riferimento al trattamento dei dati personali. Tale istruzione deve avvenire in forma scritta, tramite contratto da concludersi tra le parti e con il quale il cliente nomina il fornitore di software “responsabile del trattamento dati”.
2. Cosa disciplina il contratto
Tale contratto deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 del GDPR al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, la durata e la finalità del trattamento o dei trattamenti assegnati e le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel GDPR.
Rimane, infatti, in capo al titolare del trattamento dati, l’onere di scegliere dei responsabili che diano adeguate garanzie in merito al trattamento dei dati, sempre considerando che il responsabile, nella sua qualità di sviluppatore e proprietario del software, è colui il quale meglio conosce le categorie di dati trattati e le modalità con cui attivare le relative misure di sicurezza.
Da qui ne deriva l’importanza anche strategica nella scelta di un responsabile al trattamento dati che sia idoneo e che sappia anche consigliare il titolare con riferimento alla progettazione e alla gestione del trattamento dati.
3. Cosa può fare la software house
È questa la ragione per la quale è buona prassi per le software house comunicare in modo chiaro e preciso al cliente in fase di negoziazione e sottoscrizione contrattuale, quelle che sono le proprie misure di sicurezza (a titolo esemplificativo e non esaustivo: penetration test, password robuste, ecc.), in modo tale da poter mettere in condizione il titolare del trattamento di poter valutare idoneamente se le misure di sicurezza prospettate sono conformi alla propria valutazione dei rischi.
In concreto, un software non può essere GDPR compliant. Può esserlo, tuttavia, un trattamento dati. Il compito delle software house è quello di sviluppare e produrre software che diano adeguate garanzie di sicurezza e che forniscano delle opzioni ai propri clienti, mettendoli nelle condizioni di sviluppare un sistema di trattamento dati tramite il software stesso che sia, questo sì, GDPR compliant.
4. L’importanza di costruire un modello di trattamento dati efficace e conforme alla normativa
Per tutto quanto suesposto, risulta quindi superfluo rimarcare come sia di centrale importanza nella costituzione di un modello di trattamento dati efficace e conforme alle normative applicabili, la sottoscrizione di un contratto di nomina del responsabile del trattamento dati che elenchi quelle che sono le responsabilità dell’una e dell’altra figura, nonché gli ambiti di collaborazione tra le parti.
Benchè la mancata sottoscrizione di un contratto di designazione del responsabile al trattamento dati, non esimerebbe in ogni caso la software house dal ruolo di fatto svolto, risulta buona norma giungere alla firma di un contratto in tal senso, non solo per quanto attiene al rispetto delle norme cogenti in materia di protezione dei dati, e quindi con riferimento a specifiche nomine ad hoc che tengano conto del rapporto soggettivo con il cliente e dei principi di accountability, ma anche e soprattutto al fine di limitare e rendere verificabili le varie responsabilità in capo ai due soggetti.
Articoli correlati
Autore
Arca24.com SA è un HR Tech Factory specializzata nello sviluppo di software cloud per il settore delle risorse umane.
Vuoi rimanere sempre aggiornato sulle ultime novità? Seguici su:
Video episodi
Primo episodio GDPR for HR | Reclutare tramite email – prima parte
Chiara Ferrari (Legal Manager di Arca24) e il Professore Avvocato Massimiliano Nicotra sono i protagonisti del primo episodio, dedicato all’e-mail recruiting: raccolta e trattamento dei dati, tempi e modalità di conservazione e gestione del consenso.
Primo episodio GDPR for HR | Reclutare tramite email – seconda parte
Secondo appuntamento video per la rubrica “GDPR for HR”. Continuiamo a parlare di e-mail recruiting spostando però il focus sui diritti del candidato: diritto all’oblio, diritto di accesso e portabilità dei dati i protagonisti di questa puntata.
Secondo episodio GDPR for HR | Area personale del candidato
In questa puntata dedicata all’attività di recruiting faremo il punto in merito alla necessità o meno di dotarsi di un’area candidato che possa essere gestita in maniera autonoma dalla persona interessata.
