Adeguamento dei prodotti software paghe e stipendi al nuovo regolamento europeo sulla privacy
A poco più di due mesi dal 25 maggio 2018, data dalla quale sarà pienamente applicabile il Gdpr (General data protection regulation) ovvero il nuovo regolamento europeo per la privacy, e con esso i relativi obblighi in capo a imprese e soggetti pubblici, facciamo il punto sull'adeguamento dei software paghe e stipendi.
Diciamo innanzitutto che il nuovo regolamento europeo, pur essendo particolarmente innovativo in alcuni ambiti e, in particolare, per quei Paesi dell'Unione ancora senza un proprio codice della privacy, non stravolge invece l'impianto normativo delle nazioni, Italia compresa, con una regolamentazione della gestione dei dati personali già avanzata.
Nel nostro Paese, infatti, il legislatore ha regolamentato la privacy fin dal 1996 con la legge 675, nella quale ha introdotto anche l'Autorità garante per la protezione dei dati personali. Successivamente è intervenuto più volte nell'assetto giuridico con norme e provvedimenti e, il 30 giugno 2003, con il decreto legislativo 196, ha istituito il Codice per la protezione dei dati personali, che dà un quadro ampio e articolato della regolamentazione vigente in materia di privacy.
Possiamo quindi affermare che il nuovo Gdpr si inserisce in un panorama giuridico, quello italiano, già particolarmente avanzato in materia di privacy, modificando determinate norme e obblighi, ma senza sconvolgerne l'impianto.
A questo proposito, anche l'adeguamento dei prodotti/servizi software in ambito paghe e stipendi non dovrebbe essere traumatico considerato che, già in passato, sia per il codice privacy, sia per l'adeguamento dei sistemi imposto dal rispetto delle misure minime di sicurezza per le pubbliche amministrazioni, già molto lavoro è stato fatto.
Chiariamo subito che il produttore di software non potrà mai essere considerato titolare del trattamento, non potendo lo stesso definire le specifiche finalità per cui i dati sono trattati; casomai al produttore spettano quasi sempre gli obblighi previsti per il responsabile del trattamento dei dati. Ciò premesso, il produttore effettuerà sui prodotti software gli adeguamenti e gli interventi che riterrà più opportuni per renderli compliant al Gdpr, senza alcun obbligo specifico. Sarà sempre cura del cliente verificare se l'applicativo acquistato risponde alle proprie esigenze in qualità di titolare del trattamento dei dati. Qualora questo non si verificasse, secondo le regole contrattuali, potrà eventualmente recedere dal contratto e scegliere un altro prodotto. Rimane inteso che il cliente potrà chiedere al proprio fornitore ulteriori modifiche e adeguamenti, concordando uno specifico compenso.
Per presidiare questo importante settore, AssoSoftware, da circa un anno, ha costituito al proprio interno un gruppo di lavoro (GdL) che si occupa di data protection e che ha il compito di definire linee guida e best practice a favore delle aziende associate e dell'intero mercato. L'attività viene svolta con periodici incontri tra le aziende associate, con l'ausilio di esperti di settore e con il confronto periodico con i rappresentanti dell'Autority garante.
Il primo documento prodotto dal GdL, già pubblicato sul sito dell'associazione, riguarda una raccolta di domande e risposte (Faq) sul nuovo Gdpr contenente indicazioni di grande utilità per tutti i produttori di software per affrontare correttamente l'adeguamento dei propri applicativi e per rispondere nel migliore dei modi alle richieste provenienti dai propri clienti. Il documento Faq affronta diverse problematiche tecniche e procedurali di grande interesse, dando per ciascuna il punto di vista autorevole dell'associazione. Esaminiamo qui ora alcuni punti, mentre per un maggior approfondimento invitiamo a consultare sul sito AssoSoftware il documento integrale.
Registro dei trattamenti
Non ci sono al momento indicazioni precise per la compilazione e tenuta del registro dei trattamenti, tuttavia il GdL ritiene che lo stesso possa essere gestito in forma elettronica e modulare, rimandando a schede e archivi anagrafici separati con appositi riferimenti. Così anche la tipologia dei trattamenti si valuta che possa essere elencata in forma schematica per ciascun prodotto/servizio erogato dalla software house. Si ritiene inoltre che il registro possa essere mantenuto sempre nella versione aggiornata, senza la necessità di storicizzare le variazioni intervenute nel tempo. Per i prodotti/servizi paghe e stipendi sembra possibile organizzare un registro “virtuale” che attinga informazioni sia dall'anagrafica dei clienti della software house, sia dall'archivio dei prodotti/servizi opportunamente arricchito dei trattamenti correlati.
In merito all'obbligo o meno per i produttori di software di provvedere alla redazione del registro dei trattamenti, considerato l'articolo 30, comma 5, del Gdpr, il GdL reputa che sarebbe opportuno procedere in tal senso qualora il produttore sia anche responsabile del trattamento dei dati forniti dai propri clienti.
Responsabile del trattamento dei dati per prodotti “cloud” o “on premise”
Con il nuovo Gdpr il soggetto che raccoglie ed elabora dati di terzi assume automaticamente il ruolo di responsabile del trattamento, anche nel caso in cui i dati siano trasmessi per sola attività di assistenza, verifica o migrazione. Per tale motivo si ritiene che normalmente il produttore che eroga anche assistenza sui prodotti software da lui forniti sia da considerare responsabile del trattamento a prescindere che i medesimi siano venduti nella modalità “on premise” (installati presso il cliente), ovvero in “cloud” su piattaforme del produttore.
Servizi erogati dalle software house e nomina del Dpo (data protection officer)
Non è possibile dare indicazioni generali per l'obbligo o meno di provvedere alla nomina di un Dpo all'interno della software house; la cosa andrà valutata caso per caso a seconda del servizio/prodotto erogato e del trattamento dati effettuato. Tuttavia, mentre nel caso di vendita e assistenza di soli prodotti “on premise” si può escludere a priori l'obbligo, nel caso di servizi erogati in SaaS Cloud, si ritiene che la cosa vada attentamente valutata e che sarebbe comunque consigliabile la nomina di un Dpo.
Diritto all'oblio e cancellazione dei dati nei backup
Sul punto non ci sono particolari novità essendo la cancellazione dei dati già prevista dall'articolo 7, comma 3, lettera b, del codice privacy, quindi, qualora la stessa sia formulata in termini generali, si ritiene che andrebbe applicata anche ai backup. Tuttavia si reputa che debbano essere previste determinate deroghe qualora il processo di individuazione dei dati da cancellare dai backup sia particolarmente difficoltoso e/o oneroso e comporti costi significativi per il titolare e per il responsabile. Un esempio calato sulla realtà dell'elaborazione paghe e stipendi riguarda il salvataggio degli archivi dell'anagrafica dipendenti e percipienti, spesso univoca per più datori di lavoro; ne consegue che la cancellazione dei dati anagrafici del titolare del trattamento (datore di lavoro) e dei soggetti interessati (dipendenti) non potrebbe avvenire senza coinvolgere i dati di altri soggetti e di conseguenza non sarebbe attuabile.
Diritto alla portabilità dei dati e funzioni di export
Il diritto alla portabilità dei dati riguarda unicamente i dati forniti dall'interessato e non tutti i dati derivati e risultati da elaborazioni del software. I dati presenti sui cedolini paga o sui dichiarativi fiscali e contributivi non sono dati dichiarati ma frutto di un'elaborazione del software, per tale motivo non soggetti alla portabilità. Qualora sia richiesta, la portabilità potrà avvenire su formato standard e potrà essere pattuito un compenso per l'attività richiesta.
Questi sono solo alcuni dei punti affrontati dal documento e in ogni caso, vista la complessità della materia e la mancanza alla data di chiarimenti ufficiali, su molti aspetti si dovrà ritornare con ulteriori approfondimenti da parte del gruppo di lavoro associativo.
