L’emanazione del Regolamento Europeo per la protezione dei dati personali sembra essere in dirittura d’arrivo. Il testo già disponibile in lingua italiana, evidenzia un aspetto molto importante per chi sviluppa software o eroga servizi lato ICT: introduce i principi privacy by design e privacy by default. In sostanza per quanto concerne lo sviluppo di nuovi prodotti o soluzioni di natura informatica, che possano comportare trattamento diretto o indiretto di dati personali (ivi inclusi nominativi di soggetti utilizzati nei rapporti B2B), che siano afferenti al tema della sicurezza piuttosto che al controllo dei dipendenti, da introdurre sul mercato europeo, sarà necessario che il Fornitore tenga conto del principio del privacy by design. Cosa significa? In pratica il Controller (ovvero colui che oggi riconosciamo nella figura del Titolare), sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento, deve mettere in atto misure tecniche ed organizzative adeguate tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità.
Facciamo un esempio pratico. Sviluppo di un CRM: dalla progettazione con individuazione delle voci di compilazione sino alle misure di sicurezza applicabili a presidio dei dati, piuttosto che alle modalità di estrapolazione dei dati, occorre tenere conto del principio del privacy by design. Stesso obbligo nell’ipotesi di implementazione di un prodotto/servizio sussistente, in quanto obbligatoria la privacy by default: il Controller mette in atto misure tecniche ed organizzative adeguate per garantire che rispetto all’implementazione siano trattati di default, solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità. Come si può desumere, cambia l’approccio che i Fornitori debbono adottare, o in modo diretto e preventivo o previo stimolo del Controller, nell’andare a gestire sviluppi di prodotti e progetti anche alla luce della corresponsabilità che avranno con il Controller qualora il prodotto/servizio non sia conforme al Regolamento Europeo (sanzioni sino al 4% del fatturato globale mondiale annuo).
Secondo le disposizioni del Regolamento infatti, il Controller può ricorrere solo a Processors che assicurino misure tecniche ed organizzative idonee a soddisfare il rispetto normativo. Nel caso dei trattamenti su commissione, ad esempio, il rapporto deve essere disciplinato da apposito contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, atto a vincolare il Processor del trattamento al Controller; nel dettaglio il legislatore europeo richiede che siano stipulati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi ed i diritti del Controller del trattamento, e che preveda (a titolo esemplificativo) che il Processor tenuto conto della natura del trattamento, assista il Controller con misure tecniche ed organizzative adeguate. Parimenti, dovranno essere stabiliti termini di data retention e modalità di cancellazione sicura in caso di interruzione dei rapporti.
Quali sono le ipotesi contrattuali in cui occorrerà tener conto di questi obblighi? Ad esempio, quando il Fornitore in qualità di Controller, sviluppa un software o una App «in proprio»; oppure quando il Controller affida a terze parti lo sviluppo di un software o di una App e deve ricevere idonea garanzia dal Fornitore circa il privacy by design applicato; altrettanto, nell’ipotesi di un rapporto Fornitore-Committente per cui quest’ultimo ricorre a soluzioni applicative offerte e gestite da terze parti. I casi sono molteplici e tutti da disciplinare nel dettaglio per stabilire il perimetro delle responsabilità Committente-Fornitore.
Certamente non si può non riflettere sugli aspetti di competitività che i Fornitori potranno “cavalcare” a loro favore con l’uscita del Regolamento: dimostrare di aver analizzato il proprio operato alla luce dei nuovi obblighi consentirà di acquisire corsie preferenziali sul mercato di riferimento potendo garantire al Cliente/Committente una compliance normativa alle origini del rapporto da instaurare o rinnovare.