Agenzia italia digitale

Linee guida di design per i siti e servizi della PA, bene Agid ma sarà una sfida attuarle

Ecco le nuove linee guida di design per i siti internet e i servizi digitali della Pubblica Amministrazione, adottate dall’Agenzia per l’Italia Digitale (AgID). Con anche un Manuale operativo di design. Vediamone i contenuti, la rilevanza. Come anche la difficoltà per le PA di applicarle

Pubblicato il 02 Ago 2022

Nadia Giusti

Data Protection & Cybersecurity Expert

linee guida design siti e servizi pa

Le nuove Linee guida di design per i siti internet e i servizi digitali della Pubblica Amministrazione, adottate dall’Agenzia per l’Italia Digitale (AgID) con la determina n. 224/2022 e pubblicate mercoledì 27 Luglio 2022, hanno lo scopo di orientare e guidare la progettazione e la realizzazione dei siti internet e dei servizi digitali erogati dalle Pubbliche Amministrazioni (PA), con una particolare attenzione all’usabilità e ad un approccio progettuale orientato ai cittadini.

Tali linee guida sono il frutto di un lavoro congiunto tra il Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei Ministri, arricchito dal percorso di consultazione pubblica, e dal dialogo con la Conferenza Unificata e l’Associazione Nazionale Comuni Italiani (ANCI), e sostiutiscono le precedenti “Linee guida per i siti web delle PA”, previste dall’art. 4 della Direttiva del Ministro per la Pubblica Amministrazione e l’innovazione del 2009.

https://www.agendadigitale.eu/cittadinanza-digitale/accessibilita-ecco-le-linee-guida-per-i-privati-bello-ma-ce-stress-da-norme/

Le Linee guida di design per i siti internet e i servizi digitali della Pubblica Amministrazione

Rispetto alle precedenti, le nuove linee guida rappresentano un adeguamento della metodologia e degli strumenti per la progettazione, realizzazione, gestione e monitoraggio dei servizi pubblici digitali, anche in virtù del contesto tecnologico in continua evoluzione. Inoltre, sono uno strumento funzionale alla realizzazione dei progetti di miglioramento dei servizi pubblici previsti dal Piano Nazionale di Ripresa e Resilienza (PNRR), ai quali sono destinati importanti investimenti.

Sono costituite da uno schema di regole per il raggiungimento di una serie di obiettivi che, in attuazione dell’art. 53, comma 1-ter, del Codice dell’Amministrazione Digitale (CAD) e, come chiarito nel paragrafo 2.1, hanno lo scopo di “definire e orientare la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni”. Tale schema tiene conto degli esiti della consultazione pubblica effettuata dall’ AgID e del parere del Garante per la Protezione dei Dati Personali del 24 febbraio 2022. I destinatari dello schema, secondo quanto previsto dal paragrafo 2.2 delle linee guida, sono le Pubbliche Amministrazioni, così come definite nell’art. 2, comma 2, lett. a), del CAD.

Accessibilità

Per poter rendere accessibili a tutti gli utenti il contenuto, la struttura e le modalità di utilizzo degli strumenti informatici, secondo i requisiti di legge, tutte le PA devono:

La Legge 9 gennaio 2004, n. 4 recante “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici”, ha come obiettivo l’abbattimento delle barriere digitali che limitano o impediscono l’accesso agli strumenti informatici nelle PA da parte dei soggetti disabili.

Le linee guida sull’accessibilità degli strumenti informatici, invece, hanno lo scopo di definire i requisiti tecnici per l’accessibilità degli strumenti informatici, inclusi i siti web e le applicazioni mobili, le metodologie tecniche per la verifica dell’accessibilità degli strumenti informatici, nonchè il modello della Dichiarazione di Accessibilità, al fine di valutare lo stato di conformità degli strumenti utilizzati.

Affidabilità, Trasparenza e Sicurezza

Le PA devono progettare e sviluppare servizi digitali tali da garantire la trasparenza delle informazioni e la sicurezza, nel rispetto della normativa in materia di protezione dei dati personali.

Le misure che le PA devono obbligatoriamente mettere in atto per il raggiungimento di questo obiettivo sono le seguenti:

  • la protezione dei dati personali deve essere garantita fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del Regolamento Generale della Protezione dei Dati (General Data Protection Regulation – GDPR) e delle Linee guida 4/2019 all’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate dal Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) il 20 ottobre 2020;
  • deve essere rispettato almeno il livello minimo di sicurezza stabilito dalle Misure minime di sicurezza ICT per le pubbliche amministrazioni, salvo specifici requisiti, considerando comunque che, per garantire una effettiva protezione dei dati personali, deve essere sempre effettuata la necessaria e puntuale valutazione in merito a quanto stabilito dall’art. 5 par. 1 lett. f) e dall’art. 32 del GDPR. Ricordiamo che le misure minime di sicurezza possono essere implementate secondo tre diversi livelli di attuazione: minimo, quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme; standard, il livello che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza, e avanzato, che deve essere adottato dalle organizzazioni maggiormente esposte a rischi (per la criticità delle informazioni trattate o dei servizi erogati), ma anche considerato come obiettivo di miglioramento da parte di tutte le altre organizzazioni;
  • devono essere messe in atto una serie di misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR;
  • in presenza di rischio elevato per i diritti e le libertà degli individui, prima di procedere al trattamento, deve essere effettuata una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e, al ricorrere delle condizioni previste dall’art. 36 del GDPR, deve essere altresì consultato il Garante per la protezione dei dati personali, anche alla luce delle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017;
  • le PA devono pubblicare sul proprio sito l’informativa relativa al trattamento dei dati personali, e le informazioni rese agli utenti devono essere “concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori” come indicato dall’ art. 12 del GDPR. Le linee guida suggeriscono anche, sebbene non si tratti di un obbligo, di fornire un link diretto all’informativa sul trattamento dei dati personali, attraverso una dicitura facilmente comprensibile (es Privacy o Informativa);
  • se individuato come base giuridica, deve essere richiesto il consenso, eventualmente anche con riferimento all’utilizzo di cookies o tecniche assimilabili;
  • se soggetti con disabilità sono tra i destinatari dei servizi, devono poter fruire effettivamente dei contenuti dell’informativa relativa al trattamento dei dati personali
  • se soggetti minori sono tra i destinatari dei servizi, l’informativa da rendere a tali soggetti deve essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che anche un minore ne possa facilmente comprendere i contenuti;
  • nel caso in cui servizi o informazioni vengano erogati tramite applicazioni per dispositivi mobili (le cosiddette app), le informazioni relative al trattamento dei dati personali devono riguardare specificatamente l’app e non fare riferimento all’informativa generica; tali informazioni dovranno essere disponibili negli store che ospitano l’app prima che l’app stessa venga scaricata. Una volta che l’app è stata scaricata e installata, tali informazioni dovranno continuare ad essere facilmente accessibili, e non dovranno essere necessari più di due click per accedere a tali informazioni, a partire dal menù dell’app;
  • devono essere pubblicati i dati di contatto del Responsabile della Protezione dei Dati (RPD o Data Protection Officer, DPO), che la PA deve designare ai sensi dell’ Art. 37 del GDPR;
  • deve essere condotta una attenta valutazione della necessità di utilizzo dei cookies (o tecnologie assimiliabili) rispetto alle finalità perseguite dalla PA sulla base dell’art. 122 del Decreto legislativo 30 giugno 2003, n. 196  (Codice privacy), tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, devono avvenire nel rispetto degli artt. 44 e seguenti del GDPR;
  • nel caso di utilizzo di cookies, gli utenti devono esserne informati, in accordo con gli art. 12 e 13 del GDPR, e 122 del Codice privacy, e con le modalità illustrate nelle Linee guida cookie e altri strumenti di tracciamento del Garante per la Protezione dei Dati Personali, del 10 giugno 2021, anche con riferimento all’eventuale consenso, ove necessario; nel caso in cui l’utente non intenda prestare il proprio consenso all’utilizzo dei cookies, deve essere assicurata, in ogni caso, la piena fruibilità del sito web o del servizio digitale;
  • qualora si intenda delegare a fornitori terzi alcune attività che comportino il trattamento di dati personali, la PA deve far ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato. Tali soggetti dovranno essere nominati “Responsabili del Trattamento ai sensi dell’art. 4, n. 8) del GDPR e nel rispetto di quanto richiesto all’art. 28 del GDPR. Le linee guida ricordano che è di fondamentale importanza individuare la corretta ripartizione delle responsabilità tra titolare e responsabile, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento;
  • i trattamenti di dati personali effettuati dalla PA devono essere inseriti nel Registro dei trattamenti della PA, ai sensi dell’art. 30 del GDPR;

 

Semplicità di consultazione ed esperienza d’uso

Le PA devono progettare, realizzare e mantenere siti internet e servizi digitali utili e facili da usare, secondo una metodologia di progettazione che mette al centro l’utente e le sue esigenze.

Per poter raggiungere tale obiettivo, le misure che le PA devono obbligatoriamente mettere in atto sono le seguenti:

  • nella fase di analisi, ideazione e progettazione del servizio o del sito si deve considerare un approccio progettuale orientato alle persone, capace di tenere conto delle loro esigenze, secondo un’ottica di miglioramento continuo e iterativo, utilizzando dove possibile metodologie agile;
  • obiettivi e destinatari devono essere identificati in modo esplicito;
  • si devono svolgere attività di analisi considerando le abitudini e le richieste degli utenti, in modo da adattare servizi e siti web alle loro esigenze;
  • si devono utilizzare prototipi che siano utili per verificare l’efficacia della soluzione progettuale adottata e la sua usabilità;
  • si devono effettuare test di usabilità per comprendere se i servizi digitali, esistenti o in fase di progettazione, corrispondano alle esigenze degli utenti;
  • il linguaggio e l’organizzazione dei contenuti del sito web o del servizio devono essere adeguati all’utente destinatario.

Monitoraggio dei Servizi

Le PA devono analizzare e migliorare l’esperienza d’uso dei siti e dei servizi digitali mediante la rilevazione qualitativa e quantitativa dei dati di fruizione.

Per poter raggiungere tale obiettivo, le misure che le PA devono obbligatoriamente mettere in atto sono le seguenti:

  • si deve effettuare la raccolta e l’analisi statistica del traffico e del comportamento utente durante l’accesso e l’ utilizzo di siti e servizi digitali;
  • tali informazioni di monitoraggio, opportunamente anonimizzate e aggregate, devono essere rese note;
  • gli utenti devono poter comunicare facilmente all’amministrazione il proprio livello di soddisfazione ed eventuali difficoltà riscontrate;
  • si devono condurre analisi e valutazione dei feedback degli utenti in merito alla qualità de servizi erogati;

Le linee guida, adottando il suggerimento del Garante, auspicano l’adozione della piattaforma Web Analytics Italia (WAI), avendo cura di informare adeguatamente gli utenti ai sensi degli art. 12 e 13 del GDPR e 122 del Codice privacy, e l’adozione di strumenti adeguati e aggiornati per quanto riguarda le metodologie di testing e di valutazione quantitativa e qualitatitva.

 

Interfaccia utente

Le PA devono mettere a disposizione interfacce utenti semplici da utilizzare. Le misure da implementare obbligatoriamente sono le seguenti:

  • quando disponibili, si devono utilizzare modelli di design realizzati per specifiche tipologie di siti internet e servizi digitali;
  • all’interno del servizio o sito web, le interfacce devono essere coerenti tra loro, sia in termini di stile che di esperienza d’uso, privilegiando le indicazioni e gli strumenti previsti su https://designers.italia.it;
  • le interfacce realizzate devono essere in grado di adattarsi al dispositivo dell’utente;

 

Integrazione delle Piattaforme abilitanti

Le PA devono prevedere un’esperienza d’uso comune alle diverse procedure on line.

Pertanto le PA devono:

  • garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti dal CAD, nel rispetto del principio di minimizzazione di dati, assicurando che solo dati personali degli utenti adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità, siano oggetto del trattamento;
  • garantire un’idonea base giuridica, secondo l’Art.  5, par. 1, lett. a) e 6 del GDPR e dell’art. 2-ter del Codice privacy, e le adeguate garanzie ai sensi dell’Art. 44 e seguenti del GDPR, soprattutto quando si intenda utilizzare elementi di terze parti all’interno dei propri siti web che possono comportare la comunicazione di dati personali a terzi e, in alcuni casi, anche il trasferimento dei dati personali in Paesi terzi;
  • garantire che i pagamenti online vengano effettuati soltanto mediante gli strumenti di pagamento previsti dal CAD.

Licenze

Le PA devono privilegiare l’applicazione di licenze open source, come già indicato dalle Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni, adottate da AgID con Determinazione n. 115/2019 del 9 maggio 2019, dove si stabiliva che:

  • le PA sviluppino codice sempre open source
  • le soluzioni rese riusabili dalle PA siano pubblicate con licenza open source in una repository pubblicamente accessibile e inserite nel catalogo Developers Italia

Pertanto le PA devono:

  • associare ai contenuti una licenza open source, ove non diversamente previsto dalla normativa vigente
  • inserire il link alla licenza open source, riportanto la versione della stessa

Attuazione

Le PA devono assicurarsi che le attività di progettazione, sviluppo e manutenzione di siti e servizi digitali rispondano alle nuove linee guida. Pertanto, esse devono includere la dicitura “Il fornitore incaricato deve rispettare le indicazioni riportate nelle Linee guida di design per i siti internet e i servizi digitali della PA” all’interno dei contratti pubblici concernenti l’affidamento di attività di progettazione, sviluppo e manutenzione di siti internet e servizi digitali

 

Gli strumenti operativi di Design

Per aiutare l’applicazione delle linee guida, il Dipartimento per la Trasformazione Digitale e AgID hanno reso disponibili su https://designers.italia.it un insieme di indicazioni e strumenti operativi di ausilio alla progettazione, sviluppo e manutenzione di siti internet e servizi digitali con lo scopo di fornire un supporto evolutivo per l’attuazione delle presenti linee guida, come per esempio template (o modelli) da utilizzarsi per la creazione di siti e di servizi specifici.

Tra i vari tools presenti, il Manuale Operativo di Design, ha come scopo quello di essere una guida di lavoro dedicata alla PA e i suoi fornitori, e di fornire indicazioni operative a supporto della progettazione e della realizzazione di strumenti e servizi digitali digitali verso i cittadini. L’obiettivo della trasformazione digitale dei servizi pubblici è quello di costruire un sistema di Pubblica Amministrazione digitale (e-government) dove il cittadino è posto al centro. In questa ottica, il focus della progettazione di un servizio della PA è orientato a prediligere le esigenze dell’utente, le sue aspettative e i suoi bisogni.

Conclusioni

E’ chiara e condivisibile l’intenzione delle nuove linee guida di design, rafforzata anche dall’introduzione del Manuale Operativo di Design, che rappresenta uno strumento prezioso per capire come applicare le linee guida, di proporre i valori di una progettazione virtuosa dei servizi pubblici digitali.

Dove l’utente di tale servizio è posto al centro, e non semplice destinatario, e dove i suoi comportamenti, le necessità, le preferenze e le aspettative sono considerati gli elementi fondamentali per poter progettare e costruire servizi efficaci e conformi, facilitando la prototipazione di soluzioni, l’utilizzo di buone pratiche e la condivisione dei risultati ottenuti; e dove lo sviluppo della soluzione prescelta, sia essa un servizio o un sito web o una app, attraverso il ciclo di pianificazione, analisi, definizione, sviluppo e test, tipico degli approcci agile, rappresenti non solo il raggiungimento di un requisito, ma un continuo miglioramento del prodotto finale.

In tale direzione, il Manuale Operativo offre un valido aiuto per aiutare a comprendere meglio il concetto di Accessibilità by Design, ovvero l’includere già dalle prime fasi della progettazione i requisiti di accessibilità, insieme a quello della Privacy by Design, ovvero la protezione dei dati fin dalla progettazione e dei relativi approcci by Default, anche se non è chiaro perché la Security by Design ne sia stata esclusa.

Cambiare o migliorare i propri paradigmi di progettazione, però, è attività quanto mai complessa in ogni realtà, e non solo nell’ambito della pubblica amministrazione, perché richiede risorse, sia economiche che intellettuali, competenze specifiche, funzionali e organizzative, buone pratiche e conoscenze degli standard. L’approccio all’open source, già ampiamente introdotto nell’ambito delle PA, offre indubbiamente opportunità, ma richiede anche la capacità di saper interagire con le community di individui/esperti, che creano e manutengono questo tipo di prodotti, e che devono trovare il modo di collaborare efficacemente tra di loro.

Le pratiche agile, adottate per migliorare la compatibilità ed efficienza, e per dotarsi di ritmi di risposta sempre più rapidi e adeguati alle esigenze dei clienti, richiedono competenze come la capacità di lavorare in team in modo collaborativo, di adattarsi alle diverse situazioni, di sviluppare forti capacità relazionali e tempo per abituarsi al cambiamento e ad acquisire esperienza e consapevolezza.

La progettazione di strumenti, e di esperienze, digitali che siano semplici ed efficaci, e adattabili ai diversi dispositivi, richiede risorse, competenza, molta ricerca e, inevitabilmente, tempo.

Riusciranno le PA a vincere la sfida?

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2