Il sito web dei Comuni è il primo punto di contatto tra l’Ente e il pubblico e, per questo, è uno strumento essenziale per garantire trasparenza e accessibilità.
Per queste ragioni, il sito deve essere conforme alla normativa privacy e al Regolamento EU 2016/679 (GDPR), ma da una analisi che abbiamo condotto proprio in questi giorni è emerso che non è così.
I PROBLEMI PIU’ RICORRENTI NEI SITI DEI COMUNI | |
Mancanza di una corretta informativa privacy | Molti enti pubblici non rispettano l’obbligo di fornire un’informativa dettagliata e comprensibile sui trattamenti dei dati, in violazione degli articoli 13 e 14 del GDPR. Questo include l’assenza di informazioni sui DPO e sui diritti degli interessati. Alcuni comuni non sono neppure in possesso di una privacy policy del sito web. |
Non conformità con la normativa sui cookie e i sistemi di tracciamento | Un altro ambito ricorrente è la gestione non corretta dei cookie, dove molti siti istituzionali non allineano le politiche sui cookie con i cookie effettivamente utilizzati, violando le linee guida del Garante. |
Trattamento illecito di dati | Diversi enti pubblici hanno trattato dati personali senza una base giuridica adeguata o in modo sproporzionato rispetto alla finalità perseguita, come accaduto in alcuni casi di pubblicazione eccessiva di dati nella sezione “Amministrazione trasparente”. Anche questo comporta violazioni del principio di minimizzazione dei dati, che è spesso sanzionato dal Garante. |
Mancata sicurezza dei dati | Ancora alcuni siti istituzionali dei comuni utilizzano protocolli di trasmissione non sicuri (come HTTP anziché HTTPS). La mancata protezione dei dati tramite misure adeguate è spesso oggetto di pesanti sanzioni amministrative. |
L’informativa privacy
Abbiamo infatti verificato che, nonostante siano trascorsi 6 anni dall’entrata in vigore del GDPR, non tutti i siti web sono dotati di una propria privacy policy.
Si ricorda, che ai sensi dell’art. 13 del GDPR, tutti i titolari del trattamento hanno l’obbligo di fare conoscere agli interessati come vengono trattati i loro dati personali.
Quindi anche il titolare di un sito web che si trova di default a raccogliere dati (indirizzo IP, dati di navigazione) per il suo normale funzionamento, deve fornire un’adeguata informativa.
Inoltre, altro errore che abbiamo riscontrato, è che, non sempre, l’informativa è completa.
Spesso non contiene i dati di contatto del DPO.
L’informativa deve contenere gli elementi elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento (UE) 2016/679.
In particolare, occorre specificare:
- chi è l’interessato (cioè, la persona fisica cui si riferiscono i trattamenti di dati personali);
- chi effettua il trattamento dei dati personali (individuando, quindi, espressamente il titolare del trattamento);
- i dati di contatto del DPO;
- le finalità e modalità del trattamento;
- la base giuridica che legittima il trattamento;
- quali dati (o categorie di dati) vengono trattati;
- se i dati personali vengono trasferiti in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; sono state inserite specifiche clausole contrattuali modello, etc.);
- il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione;
- quali sono i diritti spettanti agli interessati (tra cui il diritto di presentare un reclamo all’autorità di controllo);
- se il trattamento comporta processi decisionali automatizzati (anche la profilazione) e quindi anche la logica di tali processi decisionali e le conseguenze previste per l’interessato;
Relativamente alla privacy policy del sito è emerso altresì che a volte è presente ma difficilmente accessibile e visibile.
Una buona pratica che noi consigliamo è sicuramente quella di rendere disponibile l’informativa del sito tramite un link posto nel footer della pagina.
In questo modo il documento è facilmente consultabile anche da ogni sezione del sito.
Inoltre, ricordiamo che la privacy policy deve essere scritta con un linguaggio chiaro, semplice e, per quanto possibile, colloquiale in modo da risultare comprensibile a tutto il ventaglio di utenti (che, naturalmente, può essere molto diversificato).
La cookie policy e i sistemi di tracciamento
Relativamente alla cookie policy dobbiamo dire che la medesima è obbligatoria solo se vengono utilizzati cookie e altri identificatori “non tecnici” poiché in caso contrario è sufficiente dichiarare nell’informativa del sito che si utilizzano solo cookie tecnici.
Dalla nostra analisi però sono emerse delle incongruenze tra i cookie utilizzati e quanto dichiarato nell’informativa, nella cookie policy o addirittura nel banner dei cookie.
Innanzitutto ricordiamo che sul tema è intervento qualche anno fa il Garante per la Protezione dei Dati Personali che ha fornito specifiche indicazioni con le “Linee guida in materia di Cookie e altri strumenti di tracciamento” (provvedimento n. 231 del 10 giugno 2021).
Per conformare l’uso di cookie alle linee guida dell’Autorità si suggerisce agli Enti di sottoporre il proprio portale ad un’analisi tecnica da parte del fornitore, al fine di definire quali tipologie di cookie siano effettivamente presenti.
I banner
Solo successivamente potrà essere aggiornata la “cookie policy” e applicati i banner necessari.
Ricordiamo infatti che l’Autorità ha specificato che se si usano cookie e altri identificatori “non tecnici”, si deve implementare un banner che contenga:
- l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
- il link alla privacy policy;
- l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Inoltre, detto banner, ai fini dell’acquisizione del consenso, deve pertanto contenere:
- il comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
- un comando per accettare tutti i cookie o altre tecniche di tracciamento;
- il link ad un’altra area (per esempio identificata tramite un pulsante “impostazioni” o “gestione delle preferenze”) dove scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento.
Pubblicazione dei dati di contatto del DPO
I Comuni sono tenuti a pubblicare sul proprio sito web i dati di contatto del responsabile della protezione dei dati (RPD).
Tale obbligo deriva dall’art. 37, par. 7, del GDPR che prevede che “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.
Nonostante il preciso obbligo normativo non sempre abbiamo trovato pubblicati i dati di contatti dei DPO nei portali istituzionali.
A tal fine si ricorda che, il Garante della privacy, con provvedimento n. 174 del 12 maggio 2022, è già intervenuto sanzionando un Ente locale per la mancanza di una valida e corretta designazione del RPD.
L’Autorità, tra i vari aspetti, nel caso in esame ha evidenziato che: “il mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità, costituisce una condotta sanzionabile al pari della mancata pubblicazione/comunicazione”.
È perciò fondamentale che tutte le pubbliche amministrazioni pubblichino sul proprio portale istituzionale i dati di contatto del RPD.
Secondo il Garante proprio questo adempimento “mira a garantire che […] gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile del trattamento) […] possano contattare il RPD in modo facile e diretto” (“Linee guida sui responsabili della protezione dei dati”).
Il Garante, infine, nelle “Faq sul responsabile della protezione dei dati (RPD) in ambito pubblico”, afferma altresì che “per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente”.
Pubblicazione delle informative relative al trattamento dei dati personali per vari servizi comunali
Suggeriamo caldamente come indicato anche dall’Autorità di implementare una sezione “privacy” del sito web e di pubblicare, oltre ai dati di contatto del DPO, anche tutte le informative relative al trattamento dei dati personali per vari servizi comunali.
In questo modo la pubblica amministrazione può adempiere pienamente agli obblighi di trasparenza, e comprovare di mettere a disposizione a tutti gli interessati le specifiche informative.
Le pubbliche amministrazioni devono adeguarsi al Regolamento Europeo, ponendo al centro la protezione dei dati e la tutela degli individui, al fine di evitare il rischio di incorrere in sanzioni piuttosto salate.
I contenuti di Amministrazione trasparente
Segnaliamo poi che nel corso della nostra analisi abbiamo anche riscontrato diversi errori nella sezione di “Amministrazione Trasparente” dei Comuni.
Ad esempio abbiamo riscontrato la pubblicazione dei nominativi dei dipendenti comunali nella sezione “articolazione degli uffici”.
Recentemente il Garante per la protezione dei dati personali ha affermato che per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa devono limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio – e non i dati del dipendente – cui il cittadino può rivolgersi per richieste all’amministrazione.
Si ricorda che i Comuni devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessaria, proporzionata alla finalità di trasparenza perseguita e prevista dalle norme (D.Lgs. 33 del 2013) e/o alle finalità di pubblicità legale o notificativa e che la diffusione di dati personali sul sito web è ammessa solo se prevista da una norma di legge, di regolamento o da atti amministrativi generali, nel rispetto della tutela alla riservatezza dei cittadini.
Applicare il protocollo “https”
Ricordiamo poi che è fondamentale assicurare la sicurezza di sito istituzionale.
La prima regola per rendere sicuro un portale web prevede che lo stesso sia in grado di trasmettere le informazioni mediante protocollo “https”, evitando quindi l’ormai obsoleto “http”.
A fare la differenza in questo caso è la “S”, che significa “secure”.
A livello di percezione, un sito che mostra l’indicazione “non sicuro” nella barra degli indirizzi è quanto di peggio si possa rintracciare navigando in rete.
Non si tratta solamente di una banale criticità che coinvolge l’immagine del portale, ma anche e soprattutto della sicurezza nella trasmissione delle informazioni e dei dati personali.
Applicare il protocollo “https” significa che i contenuti presenti all’interno del sito sono criptati, e quindi protetti dagli attacchi hacker.
Acquistare un certificato SSL – per poi mantenerne la validità effettuando i dovuti aggiornamenti – fornisce un’immagine di serietà, tutelando i dati personali degli utenti.
Alcune sanzioni del Garante
Provvedimento | Violazione | Sanzione | Motivazione | Altri dettagli |
4 luglio 2024 (Villasimius) | Ritardato riscontro ad una richiesta di esercizio del diritto di cancellazione e diffusione illecita di dati personali sul sito web istituzionale | 4.000 euro | Il Comune ha fornito tardivamente un riscontro alla richiesta di esercizio del diritto di cancellazione, ai sensi dell’art 17 GDPR, avanzata da un interessato e ha pubblicato un verbale relativo ad una procedura selettiva, indetta dall’ente, contente dati personali, in assenza di un’idonea base giuridica | La normativa, tra cui il d.lgs 33/2013, definisce, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituisce la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali. La normativa dispone che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli atti intermedi o endoprocedimentali relativi alla complessiva procedura concorsuale come invece avvenuto nel caso di specie. |
20 giugno 2024 (Nepi) | Diffusione illecita, attraverso il sito web, di dati personali dei partecipanti a un concorso senza idoneo presupposto normativo e mancata regolamentazione del rapporto con il fornitore di servizi ai sensi dell’art. 28 GDPR | 20.000 euro | Mancanza di un’idonea base giuridica per la diffusione e mancata regolamentazione del fornitore del sito web | La graduatoria è stata online per un lungo periodo (2015-2022), coinvolgendo un numero significativo di persone. Rapporto con il fornitore non regolamentato fino al 2022, nonostante un trattamento di dati personali prolungato. |
6 giugno 2024 (Ustica) | Diffusione illecita di dati personali attraverso l’Albo pretorio online, inclusi dati sensibili (sanitari e finanziari), senza oscuramento e mancata comunicazione del DPO | 500 euro | Problemi tecnici non sollevano il Comune dalla responsabilità per la protezione dei dati; mancata oscurazione di dati sensibili e tardiva comunicazione del DPO | Il Comune ha dichiarato di aver rimosso i documenti, ma la mancata oscurazione riguardava solo due atti |
Analizzando gli ultimi provvedimenti del Garante1 di quest’estate possiamo notare che la maggior parte riguardano proprio il sito ed errori di pubblicazione.
Per prima cosa ricordiamo che, ai sensi dell’articolo 2-ter, comma 3, del d.lgs 196 del 2003 (codice privacy), la diffusione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa se prevista da una legge o di regolamento o da atti amministrativi generali; inoltre, anche se manca una precisa norma a monte, la comunicazione può avvenire se necessaria per l’adempimento di un compito svolto nel pubblico interesse (ai sensi del comma 1 bis). In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell’inizio della diffusione.
In ogni caso, la presenza di un regime di pubblicità di atti e documenti o di obblighi di trasparenza imposti dalla normativa, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali in essi contenuti, né una deroga ai principi in materia di protezione dei dati personali.
Ed infatti anche alle pubblicazioni nell’albo pretorio online e in amministrazione trasparente si devono applicare tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati.
Tra l’altro un utile suggerimento, per non commettere violazioni di dati personali, è quello di ricorrere, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati.
La pubblicazione di contenuti sul sito web istituzionale di dati personali, in assenza di un’idonea base giuridica, determina una diffusione illecita di dati.
Problema riscontrato | Soluzione |
Assenza di una privacy policy o policy incompleta | Redigere una privacy policy completa conforme all’art. 13 del GDPR, con dettagli sui trattamenti e dati del DPO |
Dati di contatto del DPO non presenti | Pubblicare i dati di contatto del DPO in una sezione visibile del sito (es. Amministrazione trasparente e Privacy) |
Cookie policy incoerente con i cookie effettivamente utilizzati | Effettuare un’analisi tecnica sui cookie utilizzati e aggiornare la cookie policy e il banner in modo coerente |
Pubblicazione eccessiva di dati personali nella sezione ‘Amministrazione trasparente’ | Limitare la pubblicazione a soli dati necessari e proporzionati, come numero di telefono e PEC dell’ufficio |
Utilizzo di protocollo HTTP non sicuro | Implementare il protocollo HTTPS per garantire la sicurezza della trasmissione dei dati |
Ultimi suggerimenti per i Comuni
Condividendo questa nostra analisi abbiamo voluto riportare alcuni utili suggerimenti per evitare ai Comuni di incorrere in violazioni ed errori.
È importante non farsi cogliere impreparati ed avere un portale conforme sia sotto l’aspetto funzionale ed estetico, ma ancor di più sotto quello normativo.
Inoltre i Comuni devono anche stare attenti e non ricorrere ad una pubblicazione eccessiva di dati personali non necessari che rappresenta, come abbiamo visto, una delle violazioni privacy più frequenti e più sanzionate dal Garante.
Il principio di minimizzazione dei dati, previsto dal GDPR, impone che vengano trattati e pubblicati solo i dati strettamente necessari per le finalità previste.
Prima di concludere ricordiamo che tra i compiti del DPO elencati dall’art. 39 del GDPR, vi è proprio quello di informare e fornire consulenza al titolare e a tutto il personale incaricato del trattamento in merito agli obblighi e alle disposizioni del Regolamento UE 2016/679 e alla normativa sulla protezione dei dati.
Suggeriamo perciò ai Comuni di coinvolgere il loro DPO in tutte le decisioni anche quelle relative al sito web per avere un portale istituzionale a “prova di privacy” e per non incorrere in pesanti sanzioni.