Il 27 Novembre 2024 è stato pubblicata in Gazzetta Ufficiale n.278, la delibera del Garante Privacy del 17 ottobre 2024, che approva definitivamente il “Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale”.
Che cos’è il Codice di Condotta software gestionale ERP
Il Codice è stato promosso dai principali produttori di software gestionale ERP aderenti ad Assosoftware che è l’ente che tutela e rappresenta queste aziende.
Questo Codice rappresenta un passo significativo verso una maggiore trasparenza e responsabilità nel settore dei software ERP (Enterprise Resource Planning), stabilendo linee guida chiare per garantire la protezione dei dati personali trattati da queste soluzioni tecnologiche.
Il Codice stabilisce i principi fondamentali che le imprese devono seguire per assicurare un trattamento corretto e trasparente dei dati, secondo quanto stabiliscono le normative privacy e protezione dati ed, in particolare, il GDPR e la nuova NIS2.
Quali sono i principi base su cui si basa il nuovo Codice Condotta Software Gestionale
Privacy By Design e sicurezza informatica
È uno dei principi fondamentali del GDPR ed esprime il concetto di prevedere l’applicazione delle misure tecniche ed organizzative più idonee a proteggere i dati da accessi non autorizzati e da perdite accidentali fin dalle prime fasi della progettazione. L’approccio che si vuole promuovere è quello di tipo preventivo e proattivo, per evitare di dover correre ai ripari quando è troppo tardi.
A tal riguardo si fa riferimento all’allegato B) al Codice inerente alle «Misure di sicurezza applicate dalle SWH per lo svolgimento dei servizi riguardanti i software gestionali impiegati nei contesti on premise ed in cloud»
Minimizzazione dei dati
É un altro dei principi cardine del GDPR che impone alle aziende di raccogliere solo le informazioni strettamente necessarie per le finalità dichiarate. Quindi è necessario prevedere che i processi che prevedono una raccolta di dati personali possano essere parametrizzati in modo da non eccedere nella quantità e nella tipologia di informazioni che servono.
Esempio: se un software CRM, il cui scopo è gestire le vendite, permette di raccogliere troppe informazioni su clienti o potenziali, anche personali, e magari, sensibili e non strettamente funzionali alla vendita, deve poter impedire di inserire o cancellare queste informazioni.
A tale scopo potrebbero anche essere d’aiuto tecnologie AI (Artificial Intelligence) che permetterebbero di riconoscere immediatamente tali informazioni ed impedirne l’inserimento.
Attenzione ai dati sensibili
Molti software gestionali, in particolare quelli dedicati all’HR (Risorse Umane), potrebbero dover gestire informazioni sensibili o particolari (dati sulla salute, dati biometrici per le presenze…etc). In tal caso devono prevedere particolari misure tecniche di protezione di questi dati (es. criptazione, pseudomizzazione e anonimizzazione) per impedirne l’accesso ad utenti non autorizzati.
Retention dei dati
Altro fattore critico da non sottovalutare sarà la presenza o meno nei software gestionali ERP, di strumenti atti a gestire i tempi di archiviazione dei dati e loro eventuale eliminazione automatica o manuale, una volta esaurite le finalità specifiche.
Esempio: se gestisco i dati personali per un sistema di gestione presenze (es. dati presenti nel badge), il software deve prevedere una funzione che cancelli automaticamente questi dati una volta che il rapporto di lavoro si è concluso in quanto, non più necessari allo scopo di controllo entrata/uscita. Lo stesso sistema dovrà altresì prevedere che gli altri dati relativi alla retribuzione siano conservati per un minimo di 10 anni, come prevede la normativa, e quindi non cancellabili fino alla conclusione di questo periodo.
Formazione
Tutte le statistiche sulla cybersecurity dicono che addirittura, l’80% dei Data Breach, è dovuta all’errore umano quindi, proviene dall’interno.
Le aziende devono quindi garantire che il personale, coinvolto nel trattamento dei dati, sia adeguatamente formato sui principi del Codice e sulle best-practices di protezione dei dati, derivanti anche dalle varie linee guida (EDPB, ENISA, ACN…) e normative correlate come la nuova Direttiva NIS2, già in vigore alla quale devono aderire moltissime imprese.
Istituzione dell’Organismo di Monitoraggio (OdM)
Il Codice prevede l’istituzione di un organismo accreditato dal Garante – Allegato D) del Codice – che avrà il compito di monitorare il rispetto del Codice, assicurando un controllo continuo sulla conformità delle procedure e delle misure tecniche adottate e indicate negli Allegati A) e B) del Codice stesso.
Una volta attivato, le software house dovranno registrarsi al portale che verrà predisposto – Allegato E) del codice.
Il ruolo delle software house
Il Codice definisce anche, una volta per tutte, il ruolo delle Software House, le quali devono sempre essere qualificate come responsabili o sub-responsabili del trattamento, anche qualora svolgano solo attività tecniche connesse all’installazione, manutenzione e assistenza, sia in ambienti on-premise sia in cloud.
Viene, e finalmente aggiungiamo noi, anche reso disponibile un modello di accordo standard ERP o DPA, in base all’art. 28 GDPR e incluso nell’Allegato C) del Codice, per disciplinare in modo chiaro e inequivocabile i rapporti tra le software house e le aziende clienti (Titolari del Trattamento), relativamente ai trattamenti effettuati e agli applicativi e/o servizi software forniti.
Quali saranno i benefici per aziende e utenti finali
Questo non solo promuove una cultura aziendale orientata alla privacy, ma migliora anche la fiducia di utenti finali e aziende nei confronti delle soluzioni gestionali ERP e di chi le propone.
L’adozione del Codice rappresenta quindi un’opportunità, in particolare per le software house dedicate all’ERP, di distinguersi positivamente sul mercato, dimostrando un impegno concreto verso la tutela dei dati personali e la sostenibilità digitale.
Ci auguriamo inoltre che questo possa anche portare ad una maggiore qualificazione e riconoscimento del mercato verso quelle Software House Italiane che più si impegneranno per proporre software gestionali ERP sempre più di qualità, conformi e garantiti.
Tale strumento si configura come un tassello cruciale per l’elevazione degli standard di conformità normativa nel contesto dell’innovazione digitale. Il Codice trova il proprio fondamento nell’Art. 40 del GDPR, che incoraggia l’elaborazione di codici di condotta per promuovere l’applicazione coerente delle disposizioni in materia di protezione dei dati personali, tenendo in considerazione le esigenze specifiche e peculiari di determinati settori e delle PMI.
Non appena disponibile vi faremo avere l’elenco delle software house Italiane che hanno aderito al Codice di Condotta.
Iscrivetevi alla nostra newsletter e lo riceverete in anteprima.
Scarica il Codice di Condotta ERP e gli allegati in PDFVuoi approfondire gli argomenti trattati con i ns consulenti?