A decorrere dal 25 maggio 2018 le soluzioni software commercializzate sul mercato europeo devono essere conformi al GDPR (General Data Protection Regulation). Difatti, l’articolo 25 della norma europea indica l’obbligo di applicare misure tecniche e organizzative adeguate ai mezzi di trattamento. Tale vincolo riguarda le aziende che risiedono sul mercato europeo ma anche quelle che, realizzando prodotti in qualunque parte del mondo, dagli Stati Uniti all’India, intendono diffonderli nello spazio UE.
GDPR: requisiti di conformità
La conformità del software secondo il GDPR non va “solo” dichiarata, deve infatti essere dimostrabile secondo il concetto di accountability, principio che caratterizza il Regolamento stesso. Per rispondere in modo puntuale, e appunto dimostrabile, Colin & Partners – www.consulentelegaleinformatico.it – ha lanciato un servizio dedicato ad aziende e PA che sviluppano o personalizzano software, partendo dal presupposto che l’elemento di garanzia di compliance è parte integrante degli aspetti da valutare in sede di software selection, in ambito privato e in seno ai bandi della Pubblica Amministrazione. Da qui nasce l’analisi di conformità del software secondo Colin. Tale metodologia è certificata da Bureau Veritas, Organismo internazionale indipendente di verifica, ispezione e controllo, esperto nei temi correlati a Privacy e GDPR. La metodologia applicata all’analisi di conformità è basata sull’approccio ai processi e incorpora il ciclo Plan Do Check Act e il Risk based Thinking.
L’attività di analisi può essere applicata sin dalla fase di sviluppo iniziale (secondo il concetto di privacy by design), così come a un prodotto software già presente sul mercato, andando a validare la conformità con un processo a ritroso che analizzi tutti gli step antecedenti al rilascio.
Quali sono i punti di analisi presi in considerazione?
Colin & Partners eroga il servizio tramite la Business Unit Software e App che, ancor prima di ottenere la certificazione della metodologia, ha applicato l’analisi a vari software a livello nazionale (in ambito bancario, B2C, produzione legata all’IoT, …) e internazionale (in particolare in materia di controllo risorse umane e grande distribuzione).
“La metodologia analizza tutte le misure organizzative applicate e, ovviamente, effettua una verifica specifica del security design, tenendo conto del core del software e delle finalità di destinazione” spiega Alessandro Cecchetti, General Manager della società. “Una volta effettuata l’analisi e rilevate le eventuali difformità al Regolamento, siamo in grado di coadiuvare imprese e PA nell’adeguare anche il design dell’applicativo e ottenere la documentazione di validazione, esaminando anche l’eventuale step di apposizione della certificazione” conclude.
Alessandro Cecchetti e Valentina Frediani, Colin & Partners
Il principale mercato di riferimento di questo servizio sono, ovviamente, le Software House che hanno tutto l’interesse a introdurre sul mercato prodotti conformi e accrescere così la propria competitività. Tuttavia, anche aziende e Pubbliche Amministrazioni che sviluppano o personalizzano software, dovendo assumere la massima garanzia di conformità per mitigare il rischio sanzionatorio ed evitare conseguenze legate alla difformità, necessitano di essere assistite da chi ha sul tema un’alta specializzazione rispetto agli strumenti che utilizzano. Teniamo conto che, in caso di violazione di legge, le conseguenze possono andare dal sequestro dei dati – qualora vi siano elementi di illegittimità – sino al danno d’immagine (pensiamo ai data breach verificatisi negli ultimi tempi e all’obbligo di “pubblicità” imposto dal legislatore verso gli utenti i cui dati siano stati oggetto del breach stesso).
“Affrontare il tema dello sviluppo o del posizionamento sul mercato tenendo conto degli elementi normativi, consente anche di prevenire erronei investimenti: non inserire funzioni di settabilità laddove il legislatore impone certe scelte di impostazione al Titolare significa, per il Fornitore, portarsi in casa responsabilità in più e non soddisfare appieno le esigenze del mercato” afferma l’avvocato Valentina Frediani CEO e Founder della società.
Fondamentale, come sempre, far acquisire al proprio team il know-how per la progettazione privacy e security by design in modo da poter applicare, a tutti gli sviluppi futuri, i principi che caratterizzando il GDPR. Punti saldi, questi ultimi, che sono ormai obbligatori nel bagaglio formativo delle risorse interne.