La DPIA – lo strumento che può mettere in luce una software house

Nei mesi scorsi abbiamo affrontato più volte il tema della valutazione di impatto privacy (DPIA) effettuata dal Titolare del trattamento. Questa volta volgiamo lo sguardo al Responsabile del trattamento, in particolar modo alle software house o a società IT che forniscono soluzioni maggiormente impattanti sotto il profilo privacy.

Rammentiamo che la DPIA è posta in essere dal Titolare del trattamento quando in un tipo di trattamento prevede l’uso di nuove tecnologie, considerando natura, oggetto, contesto e finalità del trattamento e può, pertanto, presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Oltre ai tre casi obbligatori previsti dall’art. 35 del GDPR, tale valutazione è altamente raccomandata, generalmente, in tutti i casi in cui vengono trattati dati personali attraverso l’utilizzo di strumenti tecnologici.

In tale sede ci concentreremo su quest’ultimo aspetto. In particolar modo sulla DPIA svolta da software house che erogano un prodotto (software) ai propri clienti che comporti trattamento di dati personali.

Cooperazione del Responsabile nella redazione della DPIA

Già le Linee guida del Comitato europeo dei Garanti (European data protection board – EDPB) in merito alla valutazione d’impatto sulla protezione dei dati personali rilevano che “Se il trattamento è svolto, in tutto o in parte, da un responsabile, quest’ultimo deve assistere il titolare nella conduzione della DPIA fornendo ogni informazione necessaria conformemente con l’art. 28, paragrafo 3, lettera f) [1]“

Rappresenta quindi una buona prassi definire e documentare altri ruoli e responsabilità relativamente alla redazione della DPIA.

Quindi, qualora il Titolare esternalizzi un determinato trattamento ad un Responsabile, ex art. 28 GDPR, quest’ultimo dovrà essere di ausilio per indicare tutti gli aspetti maggiormente tecnici, nonché critici, relativi al trattamento in questione. In tali casi, la software house o la società promotrice di soluzioni ad alto rischio può predisporre una propria DPIA da fornire i propri clienti che assumeranno la qualifica di Titolare del trattamento. Questi ultimi potranno partire dalla DPIA già redatta dal proprio fornitore, andandola ad integrare con le indicazioni previste dall’art. 35 del GDPR. In tal modo, l’affidabilità  lato “privacy”, del prodotto venduto sarà maggiore, potendo ragionevolmente reputarlo “compliance”, previa verifica caso per caso, alla normativa relativa alla protezione dei dati personali.

DPIA e software house: una scelta strategica

Anche l’Associazione nazionale di categoria delle software house, AssoSoftware, suggerisce alle software house di svolgere sempre la valutazione del rischio finalizzata ad individuare la rischiosità o meno di determinati trattamenti di dati, quale prassi virtuosa utile in ogni caso, soprattutto alla luce del principio di responsabilizzazione di cui all’art. 32 GDPR.

AssoSoftware, pur ribadendo che le software house assumano la qualifica di Responsabile del trattamento, dichiara che è necessario avere piena contezza del prodotto immesso sul mercato e, soprattutto, sull’adeguatezza dello stesso rispetto agli adempimenti imposti dalle leggi di settore. A tal fine, già da tempo, è utile la lettura delle FAQ elaborate.

Per quanto riguarda la necessità di effettuare un’apposita valutazione di impatto (DPIA) nel caso in cui vi siano “rischi elevati”, secondo l’Associazione, le software house potranno, in relazione agli stessi servizi erogati a più clienti, effettuare un’unica DPIA per valutare più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi.

La predisposizione di una DPIA da parte di un fornitore di tale portata non può che essere una scelta anche di natura strategica. Invero, un Titolare del trattamento sul quale grava il principio di responsabilizzazione relativamente ai trattamenti posti in essere, sarà maggiormente predisposto a scegliere un fornitore IT e una software house che gli presentino già a monte un lavoro di valutazione degli impatti relativi a quel trattamento; garantendogli tra l’altro il rispetto di tutti gli impegni e delle misure ex artt. 28 e 32 GDPR.

SEI UNA SOFWARE HOUSE? RICHIEDICI UN PREVENTIVO PER REDIGERE LA TUA DPIA

Rammentiamo infatti che il Titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati, ma deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni. Nel momento in cui un Titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali, altrimenti potrebbe incorrere nella cd. culpa in eligendo e in vigilando.

Non costituisce infatti un taboo il fatto che un Titolare possa avere difficoltà nel condurre da solo una DPIA quando questa necessita l’intervento di strumenti e soluzioni di natura particolarmente tecnici forniti da un terzo. La partecipazione di quest’ultimo si rende quindi indispensabile per comprendere effettivamente i rischi ed eventuali impatti sui diritti e libertà degli interessati.

Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR, a differenza di una che non si adegui alle nuove normative, rischiando così di non essere scelta dai propri clienti e partner commerciali.

[1] “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” (248 wp29 – pag 15).