Il fornitore del software gestionale

Il fornitore del software gestionale

CONTESTO: il fornitore del software gestionale non si limita alla vendita di una licenza d'uso, ma svolge anche interventi di aggiornamento, manutenzione e di implementazione funzioni su richiesta. L'accesso ai sistemi del Cliente è limitato all'ambito del gestionale venduto, e può avvenire o in sede o, molto più spesso, da remoto. Nell'attività così svolta si avvale di personale dipendente o collaboratori, e non è infrequente che per svolgere attività di manutenzione o di test del sistema siano estratte porzioni di database dai sistemi del Cliente.

RUOLI PRIVACY:

  • CLIENTE: titolare del trattamento.
  • FORNITORE SW GESTIONALE: responsabile del trattamento e amministratore di sistema.

PERCHE': lo svolgimento di un'attività di qualsiasi tipo sui database del Cliente comporta il ruolo di responsabile del trattamento. Inoltre, il quadro normativo del GDPR non ha abrogato il provvedimento relativo agli amministratori di sistema, e dunque è applicabile in quanto fa riferimento a "figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti".

In che modo devono essere definiti i rapporti? Attraverso un contratto che contenga sia i requisiti indicati dall'art. 28 GDPR che le prescrizioni del Provv. 27 novembre 2008 del Garante relativo alle attribuzioni delle funzioni di amministratore di sistema.

Quali sono i punti specifici da affrontare ulteriori rispetto a quelli indicati dall'art. 28 GDPR?

  • individuare gli ambiti specifici di attività consentita;
  • disciplinare le modalità di accesso da remoto;
  • gestire le utenze degli amministratori di sistema e provvedere ad un elenco dei soggetti autorizzati;
  • adottare un sistema di registrazione degli access log.

Il fornitore del software gestionale deve adempiere ad obblighi specifici ulteriori rispetto a quanto definito all'interno del contratto? Il fornitore del software gestionale deve adottare e mantenere aggiornato il registro del responsabile ai sensi dell'art. 30.2 GDPR.

Torna a "Who is who"