È stato pubblicato nella Gazzetta Ufficiale del 27 novembre 2024 il “Codice di Condotta per il trattamento dei dati personali da parte delle imprese di sviluppo e produzione di software gestionale”, promosso dalle imprese aderenti ad “Assosoftware” (Associazione nazionale produttori di software gestione e fiscale).
L’adozione di tale codice, operata sulla base di quanto previsto dall’art. 40 del Regolamento UE 2016/679 (c.d. “GDPR”), è stata avviata per rispondere all’esigenza concreta delle imprese produttrici rappresentate da Assosoftware di garantire che tutte le attività svolte durante l’intero ciclo di vita del software gestionale – dalla progettazione, produzione e sviluppo fino all’installazione e messa in esercizio – rispettino elevati standard di protezione dei dati personali, contribuendo, in tal modo, a consolidare la fiducia degli utenti verso soluzioni gestionali capaci di accelerare la transizione digitale e promuovere l’innovazione produttiva.
L’automazione dei processi aziendali, resa possibile dai software gestionali, offre alle imprese di ogni dimensione un vantaggio competitivo significativo. Dalla gestione del magazzino alla fatturazione elettronica, la digitalizzazione semplifica le operazioni quotidiane, aumenta l’efficienza e libera risorse preziose. Tuttavia, l’ampio utilizzo di dati richiede una particolare attenzione alla loro protezione. L’adozione di tale codice di condotta intende, pertanto, promuovere tra i clienti richiedenti ed utilizzatori di software gestionali la conformità di questi ultimi alla normativa data protection, nonché l’adeguatezza delle misure tecniche e organizzative offerte dai produttori in relazione all’intero ciclo di vita dei software sviluppati, in particolar modo se impiegati per attività di trattamento di dati personali.
Il codice, composto da 22 articoli e 5 allegati, definisce, infatti, obblighi precisi per le imprese aderenti. L’obiettivo è garantire la sicurezza dei dati personali gestiti dai software, come informazioni anagrafiche, dati finanziari e dettagli relativi alle risorse umane. Tra le principali prescrizioni, spicca l’obbligo di integrare la protezione dei dati fin dalle prime fasi di sviluppo del software, adottando configurazioni predefinite orientate alla tutela della privacy. Le imprese devono garantire la trasparenza, fornendo agli utenti informazioni chiare e comprensibili sul trattamento dei dati, evitando tecnicismi eccessivi. Devono specificare le finalità del trattamento, le categorie di dati coinvolte, i soggetti a cui possono essere comunicati, i diritti degli interessati e i tempi di conservazione.
Viene ribadito il diritto all’oblio, con l’obbligo di cancellare i dati personali su richiesta quando non più necessari, utilizzando procedure semplici ed efficaci. Le imprese, inoltre, oltre a garantire che il software sviluppato sia conforme alle disposizioni del codice in parola e del GDPR, devono nominare, se necessario, un Responsabile della Protezione dei Dati (DPO) e svolgere valutazioni d’impatto per i trattamenti che presentano un rischio elevato.
Il rispetto del codice di condotta da parte dei produttori di software sarà assicurato da un apposito Organismo di monitoraggio, accreditato dal Garante per la protezione dei dati personali, i cui poteri restano comunque intatti. Tale Organismo avrà il compito di verificare la conformità delle imprese al codice, risolvere eventuali controversie e promuovere attività di formazione e sensibilizzazione nel settore.
