Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Aziende fornitrici di software fuori dalla UE, soluzioni alle problematiche di GDPR compliance

Le aziende fornitrici di software fuori dalla UE si trovano a dover affrontare numerose questioni di GDPR compliance: ecco una guida ragionata per adempiere correttamente alla normativa in materia di protezione dei dati personali

11 Ott 2019
F

Ione Ferranti

Avvocato


L’articolo affronta, senza alcuna pretesa di completezza, alcuni profili del tema relativo alla GDPR compliance di aziende fornitrici di software fuori dal territorio dell’Unione europea (“UE”). L’economia dell’articolo non consente una disamina approfondita della questione.

Con l’entrata in vigore del GDPR, il soggetto che raccoglie ed elabora i dati personali di terzi assume, automaticamente, la veste di responsabile del trattamento dei dati personali, anche nel caso in cui essi siano trasmessi per la sola attività di assistenza, verifica o migrazione.

Pertanto, la software house che eroga anche servizi di assistenza sui prodotti software dalla stessa forniti va considerata responsabile del trattamento, a prescindere che i medesimi siano venduti nella modalità on premise o in cloud su piattaforme del produttore[1].

Con il termine on premise si intende la gestione accentrata delle risorse software dell’azienda, la quale decide di non dare in gestione a terzi le proprie risorse software, ma di mantenerle sotto lo stretto controllo dell’azienda stessa.

In particolare, la distinzione fondamentale è data dal modello distributivo che differenzia le diverse forme contrattuali: nel modello on premise, l’acquisto si configura come un acquisto di licenza. L’articolo tratta solo delle questioni di compliance al GDPR delle aziende che erogano prodotti e/o servizi software on premise.

Il presente articolo distingue il principio generale della privacy by design – il quale include una dimensione etica in linea con i princìpi e i valori espressi dalla Carta dei diritti fondamentali della UE – dagli obblighi giuridici nascenti dall’art. 25 GDPR[2].

Le locuzioni “data protection by design” e “data protection by default” vengono utilizzate per indicare gli obblighi giuridici nascenti dall’art. 25 GDPR. L’articolo conclude sostenendo l’applicabilità degli obblighi previsti dal GDPR in capo all’azienda fornitrice di software quando i prodotti e/o i servizi sono offerti fuori della UE.

Ambito di applicazione territoriale del GDPR

L’art. 3, il quale delimita l’ambito di applicazione territoriale del GDPR [3], definendo quali sono i trattamenti di dati personali assoggettati alla disciplina UE, rappresenta una evoluzione del diritto UE in materia di protezione dei dati personali rispetto all’intelaiatura fornita dalla direttiva 95/46/CE[4]. L’art. 3 dispone:

1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

La suddetta norma rischia di essere compresa solo in parte senza la lettura congiunta dei seguenti Considerando:

(23): “Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione. Mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione”;

(24): “È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.

La predetta norma detta i criteri di collegamento, diretti e indiretti, che consentono l’applicazione del GDPR, estendendone al massimo i limiti. I criteri dettati dall’art. 3 GDPR sono essenzialmente due: il criterio dello stabilimento e il criterio del cosiddetto targeting. Segnatamente, il GDPR si applica al trattamento dei dati personali:

  1. effettuato nell’àmbito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione (art. 3 § 1);
  2. di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
    1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
    2. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione (art. 3 § 2).

Se ricorre uno dei due criteri suddetti, trova applicazione il GDPR al trattamento dei dati personali. Ai predetti due criteri di collegamento va aggiunto un terzo, marginale: il GDPR si applica altresì al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico (art. 3 § 3).

Data protection by design e by default

L’art. 25 GDPR definisce gli obblighi imposti dalla data protection by design e by default nel modo che segue:

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’àmbito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

L’art. 25 GDPR va letto congiuntamente con il precedente art. 24, il quale regola la responsabilità del titolare del trattamento così:

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Sulla data protection by design e by default sono state già scritte molte pagine, alle quali si rinvia per una trattazione approfondita, che non è possibile in questa sede[5].

Software house quale responsabile del trattamento

Il produttore di software non può essere considerato titolare (data controller) del trattamento di dati personali, non potendo esso definire le finalità per cui i dati sono trattati. Sul produttore di software incombono gli obblighi previsti per il responsabile del trattamento (data processor).

La figura del “responsabile del trattamento” (data processor) è delineata dall’art. 28 GDPR nel modo che segue:

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

  1. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti tutte le misure richieste ai sensi dell’articolo 32;
  4. rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
  5. tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
  6. assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  7. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;e
  8. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

Il soggetto che raccoglie ed elabora dati personali di terzi assume, automaticamente, la veste di responsabile del trattamento, come già accennato.

Premesso ciò, il produttore-responsabile del trattamento dei dati personali provvede ad apportare al prodotto e/o al servizio software erogato gli adattamenti e le modifiche necessari per la compliance al GDPR.

Tuttavia, incombe sull’acquirente-titolare del trattamento dei dati personali la verifica dell’effettiva compatibilità del prodotto e/o servizio software acquistato ai requisiti del GDPR. Il produttore che eroga anche assistenza sui prodotti software dallo stesso forniti va considerato responsabile del trattamento a prescindere dalle modalità di vendita (on premise o in cloud).

L’erogazione di prodotti e/o servizi in modalità on premise

La software house è responsabile del trattamento (data processor) nei casi di erogazione dei prodotti e/o servizi in modalità on premise, qualora oltre alla licenza vengano erogati servizi di assistenza, di aggiornamento e di manutenzione, comprendenti, a titolo esemplificativo:

  1. attività di migrazione dati finalizzata all’installazione e al collaudo del software;
  2. servizi di assistenza e di aggiornamento che comportano (anche occasionalmente) l’accesso remoto ai dati del cliente;
  3. analisi dei dati del cliente per verificare problematiche di carattere tecnico e per svolgere attività di manutenzione[6].

Conclusioni

Dato che il § 1 dell’art. 3 determina l’àmbito di applicazione territoriale del GDPR facendo riferimento al criterio di collegamento dello stabilimento, per stabilire se un trattamento di dati personali ricade nella previsione della già menzionata norma è necessario precisare la nozione di stabilimento.

Ai sensi della norma predetta, qualsiasi trattamento di dati personali effettuato nell’àmbito delle attività dello stabilimento di un titolare del trattamento o di un responsabile del trattamento nella UE è assoggettato alla disciplina del GDPR, indipendentemente dal fatto che il trattamento sia effettuato all’interno della UE.

A tal fine, è determinante stabilire se il titolare o il responsabile ha uno stabilimento nella UE; è d’ausilio il Considerando (22), il quale recita:

Qualsiasi trattamento di dati personali effettuato nell’àmbito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

In conclusione, la software house stabilita in Ue quando fornisce prodotti e/o servizi on premise fuori della UE è tenuta al rispetto degli obblighi che il GDPR impone al responsabile del trattamento.

A titolo meramente esemplificativo, oltre a quanto già accennato in merito alla data protection by design e by default, l’art. 30 GDPR impone, fra l’altro, anche al responsabile del trattamento la tenuta di un Registro dei trattamenti (in forma scritta, anche in formato elettronico).

In sede negoziale, è possibile modulare – nei limiti consentiti dal GDPR e dalla normativa nazionale – gli obblighi derivanti dalla legislazione UE secondo le esigenze dell’azienda fornitrice[7].

NOTE

  1. Sui problemi del cloud alla luce del GDPR si rinvia a F. Pizzetti, GDPR e cloud: le sfide per la compliance delle aziende e il futuro dell’Europa, in AgendaDigitale.eu, 20 luglio 2018.
  2. Condividiamo, così, la distinzione già adottata da EDPS nella Preliminary Opinion On Privacy by Design, Opinion 5/2018, 31 maggio 2018, p. 1 ss.
  3. Il precedente immediato della norma è l’art. 4 dir. 95/46/CE, il quale dettava i criteri per individuare il diritto nazionale applicabile; nel nostro Paese, tale norma era stata recepita dall’art. 5 del Codice della privacy (oggi abrogato dall’art. 27 d.lgs n. 101/2018). Cfr. D. Reccia, Comm. sub Art. 3 in G.M. Riccio-G. Scorza-E. Belisario (cur.), GDPR e normativa privacy. Commentario, I ed., Milano, 2018, p. 19 ss.
  4. Cfr. EDPB, Guidelines 3/2018 on the Tettitorial Scope of the GDPR (Article 3), adopted on 16 November 2018, p. 3.
  5. Per una trattazione approfondita della data protection by design e by default, si rinvia a F. Santoro, Privacy by design e by default: un approccio concreto alla protezione dei dati, in Cybersecurity360.it, 1° marzo 2019; A. Praitano, Privacy by design e GDPR, soluzioni per proteggere i dati in azienda, in Cybersecurity360.it, 13 settembre 2018.
  6. Cfr. Assosoftware Data Protection Working Group, FAQ-Domande e Risposte sul GDPR.
  7. Cfr. R. Cintori, Aziende di servizi informatici e GDPR, il contratto per il responsabile del trattamento, in Cybersecurity360.it 24 luglio 2019.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5