GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/513/01 (1).png

Dettaglio news
La catena della privacy nei contratti software


lunedì 29 marzo 2021
Avv. Gianni Dell’Aiuto



Al momento di conclusione di un contratto per la fornitura di servizi software può accadere, e non è raro, che le parti abbiano poca contezza delle questioni relative alla protezione dati e a chi, e come, dovrà applicare il GDPR. Premesso che non può esistere una regola univoca da applicare sempre e comunque, la collaborazione tra le parti e il flusso di informazioni sono indispensabili per chiarire e definire le responsabilità in materia di gestione della privacy e, conseguentemente, individuare le modalità di individuazione e protezione dati.

Il punto è che non poche aziende, quando si affidano a fornitori di software, sono convinte che siano questi a doversi occupare della privacy in quanto i dati verranno conservati nei loro cloud e server. A loro volta i fornitori di software possono ben disinteressarsi del problema GDPR, consapevoli che è il loro cliente a doversene occupare salvo, talvolta, non informarlo. Situazioni al limite del paradosso ma, purtroppo, reali. Diventa pertanto necessario per le parti collaborare e dialogare sul primo essenziale punto, vale a dire dove saranno materialmente allocati i dati e, preferibilmente, dovrebbe essere il titolare degli stessi ad acquistare o comunque disporre, dello spazio anche in previsione di possibili problematiche future che possano portare a cambi di fornitore.

Nella fase precontrattuale sarà inoltre onere delle parti prevedere e inserire una disciplina della gestione privacy e, sul punto, un errato scambio di informazioni tali da inficiare la validità del futuro contratto potrebbe essere valutato a livello di responsabilità precontrattuale ex artt. 1337 1338 C.C. Predisporre, ad esempio, un perfetto sito per vendite online che viene fermato o sanzionato dal Garante per un mancato adeguamento al GDPR sarebbe un danno non indifferente. Altro aspetto da tenere debitamente in conto è la successiva gestione dei dati raccolti in riferimento a chi, materialmente, dovrà occuparsene vale a dire se le risorse e il personale del cliente utilizzatore o se il sistema interamente informatizzato. In questo caso l’azienda fornitrice, che potrebbe accedere ai dati su server e cloud, verrebbe a rivestire la qualifica di titolare esterno del trattamento, rendendo necessaria una lettera di incarico.

Anche la fase di formazione del personale addetto al trattamento assume una sua rilevanza per il titolare ma anche per il fornitore di servizi software in quanto saranno questi dipendenti o incaricati dell’azienda cliente a operare materialmente sui sistemi. Oltre ad eventuali specifiche indicazioni per lavorare sul software, che dovrebbero essere fornite dallo sviluppatore, è assolutamente indispensabile che sia il cliente a formare il proprio personale onde evitare che possa commettere gli errori che, solitamente, portano a perdite di dati o aprono le porte ad attacchi malware.

Si tratta di aspetti che molte aziende trascurano di prendere in considerazione, andando così a generare falle nel sistema di protezione dati se non addirittura a ometterlo, oltre a generare possibili problemi successivi di natura contrattuale che possono condurre a contenziosi lunghi, oltremodo costosi e dall’esito incerto.
Qualche pagina in più di contratto e un confronto informato possono decisamente essere utili.




CONDIVIDI QUESTA PAGINA!