Contratto software: al momento di concludere un contratto può accadere che vi siano incertezze e dubbi, quindi omissioni, in termini di protezione dati. Quali obblighi per cliente e fornitore?

Contratti software: chi deve occuparsi dei dati?

Al momento di conclusione di un contratto per la fornitura di servizi software può accadere, e non è raro, che le parti abbiano poca contezza delle questioni sulla protezione dati. E a chi, e come, dovrà applicare il GDPR. Certo, non può esistere una regola univoca da applicare sempre. Resta che la collaborazione tra le parti e il flusso di informazioni sono indispensabili per chiarire e definire le responsabilità in materia di gestione della privacy. Quindi, conseguentemente, individuare le modalità di individuazione e protezione dati.

Il punto è che non poche aziende, quando si affidano a fornitori di software, sono convinte che siano questi a doversi occupare della privacy. Questo in quanto i dati saranno conservati nei loro cloud e server. A loro volta i fornitori di software possono ben disinteressarsi del problema GDPR, consapevoli che è il loro cliente a doversene occupare. Salvo, talvolta, non informarlo. Situazioni al limite del paradosso ma, purtroppo, reali.

Diventa pertanto necessario per le parti collaborare e dialogare sul primo essenziale punto, vale a dire dove saranno materialmente allocati i dati e, preferibilmente, dovrebbe essere il titolare degli stessi ad acquistare o comunque disporre, dello spazio anche in previsione di possibili problematiche future che possano portare a cambi di fornitore.

L'importanza della fase pre-contrattuale

Nella fase precontrattuale sarà inoltre onere delle parti prevedere e inserire una disciplina della gestione privacy. Sul punto, un errato scambio di informazioni tali da inficiare la validità del futuro contratto potrebbe essere valutato a livello di responsabilità precontrattuale ex artt. 1337 1338 C.C.

Predisporre, ad esempio, un perfetto sito per vendite online che viene fermato o sanzionato dal Garante per un mancato adeguamento al GDPR sarebbe un danno non indifferente. Altro aspetto da tenere debitamente in conto è la successiva gestione dei dati raccolti in riferimento a chi, materialmente, dovrà occuparsene vale a dire se le risorse e il personale del cliente utilizzatore o se il sistema interamente informatizzato. In questo caso l’azienda fornitrice, che potrebbe accedere ai dati su server e cloud, verrebbe a rivestire la qualifica di titolare esterno del trattamento, rendendo necessaria una lettera di incarico.

Anche la fase di formazione del personale addetto al trattamento assume una sua rilevanza. Sia per il titolare ma anche per il fornitore del software, in quanto saranno questi dipendenti o incaricati dell’azienda cliente a operare materialmente.

Per approfondire > Perchè la protezione dei dati? I diritti dell'utente

La formazione del personale è parte integrante della protezione dei dati

Oltre a specifiche indicazioni per lavorare sul software, che devono essere fornite dallo sviluppatore, è indispensabile che sia il cliente a formare il proprio personale. E' suo compito evitare che possa commettere gli errori che, solitamente, portano a perdite di dati o aprono le porte ad attacchi malware.

Si tratta di aspetti che molte aziende trascurano, andando così a generare falle nel sistema di protezione dati se non peggio. Non solo, possono generarsi possibili problemi successivi di natura contrattuale che possono condurre a contenziosi lunghi, oltremodo costosi e dall’esito incerto. Qualche pagina in più di contratto e un confronto informato possono decisamente essere utili.

Per saperne di più > Garante francese: guida al GDPR per sviluppo software