La software house ha, in genere, una piena responsabilità civilistica nei confronti dell’acquirente. Responsabilità che la obbliga a valutare l’impatto del prodotto anche sui diritti e le libertà degli individui (ndr interessati al trattamento), nonché a predisporre tutte le misure di protezione necessarie per impostazione predefinita.
Il tema della responsabilità applicata alla data protection si concentra, il più delle volte, sulle figure del titolare e del responsabile del trattamento dei dati. Tra queste, il titolare risulta il principale accentratore delle responsabilità. Con riferimento al responsabile del trattamento, la responsabilità può dipendere da vari fattori, primi tra tutti la qualità e la quantità dei dati affidatigli dal titolare e dal contenuto del contratto di nomina.
Qualora, però, il titolare gli affidi la totalità o buona parte dei dati trattati, è pacifico che le responsabilità in capo al responsabile del trattamento siano estremamente elevate. Ciò si verifica, ad esempio, nel caso in cui il responsabile sia provider di una piattaforma cloud o di un servizio software su piattaforma cloud che funge da ERP aziendale.
L’inquadramento della software house nel GDPR
Sviluppatori e software house sono figure ormai essenziali nell’ambito del trattamento dei dati alle quali, tuttavia, non viene attribuita nessuna responsabilità espressa dal Regolamento UE 2016/679.
Lo sviluppatore, o software house, è quel soggetto che per conto del titolare del trattamento dei dati realizza prodotti e tecnologie che saranno utilizzati per trattare i dati in un differente contesto.
L’approfondimento sull’eventuale responsabilità dello sviluppatore parte necessariamente dalla lettura dell’art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. Prima facie tale responsabilità sembrerebbe non sussistere in capo allo sviluppatore. La norma, infatti, attribuisce al titolare del trattamento la responsabilità, di attuare misure tecniche e organizzative per garantire siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
È quindi il titolare il soggetto su cui ricade l’obbligo, anche per la “protezione per impostazione predefinita”, sulla cui base si regge il principio di privacy by default.
È pacifico che la responsabilità di rispettare i principi di privacy by design e privacy by default ricadrà sul responsabile del trattamento, qualora sia stato incaricato dal titolare ad utilizzare lo strumento tecnologico. Mentre il titolare avrà, in quest’ultimo caso, la responsabilità di esercitare la sorveglianza utilizzando gli strumenti di legge e contrattuali a sua disposizione.
Nessuna menzione, dunque, delle responsabilità di chi nella pratica progetta in qualità di soggetto terzo diverso da titolare e responsabile.
Il ruolo dello sviluppatore
Un quesito sorge spontaneo. Se il titolare (o il responsabile) del trattamento ha affidato a un terzo competente lo sviluppo di un dato programma informatico con cui tratterà dati personali, come può rispettare l’obbligo di legge se non è esso stesso, in prima persona, a svolgere quella attività and magari non dispone delle necessarie abilità per farlo?
È da escludere un intervento successivo sul programma da parte del titolare, perché il GDPR prevede espressamente che le attività di protezione siano impostate contestualmente alla progettazione. Ancora, modificare un prodotto già realizzato sarebbe inefficiente ed antieconomico.
Il titolare del trattamento, dunque, deve necessariamente adempiere al suo obbligo attraverso la stessa software house. Come? Avendo cura di inserire tale obbligo nel contratto o altro atto giuridico con cui lo incarica ad eseguire la commessa.
La responsabilità dello sviluppatore, in altre parole, non può che avere natura contrattuale, esplicando operatività sul piano civilistico, nel rapporto tra committente e sviluppatore.
Obblighi per la software house
Lo sviluppatore dovrà, supportato da un consulente privacy interno o esterno, effettuare attività di risk management, di software development e di sicurezza delle informazioni.
È essenziale individuare e descrivere il contesto in cui il software opererà, gli scopi per i quali viene realizzato e le finalità dei trattamenti effettuati. Dovranno essere individuati i rischi inerenti persone fisiche le minacce per le loro libertà e per i loro diritti. Tali rischi dovranno essere mappati e classificati per gravità e frequenza. Infine, dovranno essere predisposte adeguate misure di protezione e di sicurezza da sviluppare.
Questa operazione, qualora ve ne siano i presupposti, dovrà essere eseguita nella forma di Valutazione di Impatto Privacy (DPIA) ai sensi dell’art. 35 GDPR e, in alcuni casi, potrebbe esserci l’obbligo di procedere ad una consultazione preventiva del Garante privacy.
The software dovrà essere accompagnato da una serie di documenti a comprova della conformità alle normative sulla protezione dei dati. In tal modo, l’azienda committente si troverà nella possibilità di poter dimostrare agevolmente il rispetto delle prescrizioni normative, e la software house vedrà circoscritta la propria responsabilità in caso di uso difforme del prodotto.