Il recente “parere sullo schema di linee guida di design per i siti internet e i servizi digitali della PA predisposto dall’AgID” reso dall’Autorità Garante per la Protezione dei Dati Personali lo scorso 24 febbraio, è un’occasione per ogni ente pubblico di rivedere le proprie policy sul trattamento dei dati personali dei cittadini, irrobustendo i processi per la loro tutela. Purtroppo, però, è stata un’occasione persa per un primo passo verso un linguaggio grafico standard, quanto meno nella PA.
Siti web e servizi digitali: la guida del Garante, non solo per le PA
Le linee guida dell’AgID
Ai sensi dell’art. 53, comma 1 ter del Codice dell’Amministrazione Digitale, l’AgID ha emanato le nuove linee guida per il design dei servizi digitali della Pubblica Amministrazione. Pur essendo obbligatorie per ogni ente, sono spesso trascurate da quelli più piccoli (cioè dagli enti con minor budget a disposizione per la compliance, come, ad esempio, le scuole), che, così, offrono siti web consultabili solo da desktop, male impaginati e costruiti senza il rispetto dei principi dell’architettura dell’informazione. Da ciò deriva una preoccupante difficoltà di navigazione all’interno dei siti web o delle applicazioni degli enti, tanto che gli utenti riescono faticosamente a trovare le informazioni di cui hanno bisogno.
Tra l’altro, la stessa AgID mette gratuitamente a disposizione delle PA e delle aziende appaltatrici dei servizi informatici una serie di strumenti che consentono di adempiere agli obblighi normativi con estrema facilità: ciò è sintomo di una sempre maggiore attenzione dello Stato verso i cittadini, con cui vuole comunicare con modelli uniformi e di facile comprensione.
Il parere del Garante per la Protezione dei Dati Personali
Com’è noto, prima della conclusione dell’iter di approvazione delle linee guida e, quindi, dopo la fase di consultazione con gli stakeholder, AgID le ha sottoposte all’Autorità Garante per la Protezione dei Dati Personali che, pur apprezzando il lavoro svolto dall’Agenzia, ha individuato alcune criticità che dovranno essere corrette prima della loro promulgazione.
Infatti, il Garante, nell’evidenziare le lacune, ha inteso cogliere al volo l’occasione di introdurre nelle linee guida alcuni obblighi (eco dei recenti provvedimenti sull’uso dei cookie e degli altri strumenti di profilazione) e di richiamare alcuni importanti principi del GDPR, di fatto sottolineando come a distanza di ormai quasi quattro anni dall’inizio dell’efficacia del Regolamento Europeo si faccia ancora una leggera confusione su alcuni concetti chiave.
La sicurezza del trattamento dei dati personali degli utenti
La prima criticità riscontrata dall’Autorità Garante è proprio quella relativa alla sicurezza del trattamento dei dati personali degli utenti: infatti, il precetto contenuto nella bozza delle linee guida redatte dall’AgID imporrebbe alla Pubblica Amministrazione di adottare di “rispettare almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento”. Detta disposizione è in palese contrasto con il GDPR che, come ormai noto, prevede espressamente che il Titolare del trattamento adotti le misure di sicurezza adeguate in relazione ai trattamenti di dati personali svolti e al loro livello di rischio. Tra l’altro, le stesse misure minime di sicurezza ICT citate da AgID sono state approvate dall’Agenzia stessa il 18 aprile 2017, cioè in vigenza della normativa privacy previgente. Dunque, non solo il richiamo non assicura che il rispetto delle misure sia di per sé sufficiente a ridurre i rischi associati ai trattamenti di dati, ma nemmeno che detti rischi siano stati effettivamente ponderati dal Titolare in relazione alle conseguenze, più o meno importanti, che possano avere sugli interessati (e, quindi, nel caso di specie, sui cittadini).
A tal proposito, il Garante ne approfitta per invitare AgID ad aggiornare lo schema delle linee guida anche nel senso di ricordare agli enti pubblici che, ove gli accennati rischi siano particolarmente elevati, il GDPR obbliga loro a eseguire una valutazione di impatto sulla protezione dei dati, consultando preventivamente l’Autorità stessa nel caso vi siano concreti pericoli per le libertà e i diritti degli interessati. È di fondamentale importanza il rilievo che il Garante dà alle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato” del WP29, tanto da invitare AgID a richiamarle espressamente nel testo definitivo.
La trasparenza nei confronti degli interessati
Sebbene la Pubblica Amministrazione sia abituata a un altro concetto di trasparenza, cioè quello della cosiddetta “casa di vetro”, ossia della possibilità per il cittadino di controllare e verificare ogni aspetto degli iter burocratici che lo riguardano, il Garante per la Protezione dei Dati Personali pone l’accento sul principio di trasparenza dall’art. 12 del GDPR, così come ben illustrato nelle “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” del WP29 e fatte proprie dal Comitato Europeo per la protezione dei dati, invitando l’AgID a rivedere lo schema delle proprie linee guida con particolare attenzione alle modalità con cui l’interessato può reperire le informazioni sul trattamento dei suoi dati personali.
Innanzitutto, il Garante ricorda che le informative devono essere redatte con un linguaggio semplice ed accessibile, devono essere concise, trasparenti, intellegibili e facilmente accessibili, soprattutto se rivolte a minori o a soggetti con disabilità. A tal proposito, giova ricordare il sempre maggiore interesse dello stesso Garante verso le informative redatte con una particolare attenzione al c.d. legal design, ossia all’utilizzo di icone e tecniche di impaginazione che consentano di render subito chiare all’utente le informazioni che lo riguardano. Ad avviso di chi scrive, AgID avrebbe dovuto cogliere il momento e prevedere nello schema delle linee guida anche un set uniforme di icone che potessero semplificare la comprensione delle informative privacy: purtroppo, però, si tratta di un’occasione persa.
L’Autorità entra anche nel merito della collocazione dell’informativa che deve essere raggiungibile a non più di due click o tocchi da qualsiasi schermata del sito o dell’app, tant’è che suggerisce di inserire un link anche all’interno del menu stesso dell’applicazione.
Di imprescindibile importanza sono le note del Garante sui dati di contatto del DPO, il cui nominativo può anche non essere indicato, purché vi sia almeno un indirizzo e-mail a cui scrivergli, e sul contenuto dell’informativa, che deve essere redatta per il servizio o per l’app e non deve essere un mero documento generico dell’ente sul trattamento dei dati personali degli interessati.
L’utilizzo di cookie e di altri sistemi di tracciamento
Dell’attenzione del Garante verso i cookie e gli altri sistemi di tracciamento s’è già avuto modo di parlare in maniera molto approfondita. Dunque, non stupisce che imponga ad AgID di aggiornare lo schema di linee guida con l’espresso richiamo alle recenti disposizioni che, in breve, obbligano il titolare del trattamento ad indicare quali cookie e strumenti di tracciamento sono utilizzati dal servizio e le modalità per l’acquisizione del consenso alla loro installazione, che deve essere assolutamente documentabile. Ovviamente, anche i siti internet e i servizi della PA non possono prescindere dall’implementazione del banner contenente l’informativa breve e del blocco dell’installazione dei cookie ove l’utente non acconsenta esplicitamente a ciò.
Forse non tutti sanno che AgID ha anche predisposto una piattaforma open source denominata Web Analytics Italia (WAI), che consente la raccolta, l’analisi e la condivisione dei dati di traffico e comportamentali. A tal proposito, il Garante, nel ricordare che deve darsi atto del suo utilizzo nelle informative agli utenti, riservandosi comunque di analizzarla approfonditamente, invita AgID a disciplinare bene i rapporti con il fornitore di WAI.
I rapporti con i fornitori di servizi
Un aspetto che spesso è sottovalutato anche nei rapporti tra privati è quello della disciplina degli obblighi e delle responsabilità fra Titolare del trattamento e, perdonate il gioco di parole, i suoi responsabili del trattamento. Pertanto, l’Autorità Garante, nel ricordare che i fornitori devono essere scelti solo se presentino garanzie adeguate e sufficienti a garantire la sicurezza dei trattamenti e la tutela dei diritti degli interessati, invita AgID a riformulare lo schema delle linee guida specificando che il titolare deve regolare i trattamenti svolti dal responsabile con un accordo sulla protezione dei dati, disciplinando la possibilità di ricorrere ai sub-responsabili del trattamento di modo da poter sempre ricostruire la filiera delle responsabilità, senza che, cioè, i dati si disperdano fra fornitori non correttamente identificati.
Infine, ove i fornitori di servizi siano stabiliti in Paesi terzi, cioè fuori dallo Spazio Economico Europeo (SEE), bisogna verificare se sussistono le condizioni per la liceità del trasferimento dei dati all’estero. Questo particolare passaggio è di fondamentale importanza ove gli enti, come, ad esempio, le scuole o le università, usino piattaforme per la didattica integrata o per la gestione dei servizi di comunicazione fornite da soggetti esteri.
Utilizzo dei sistemi di autenticazione e di elementi di terze parti
Ultimo, ma non meno importante, aspetto del provvedimento in esame è il rilievo sul rispetto del principio di minimizzazione dei dati anche per quanto riguarda i sistemi di autenticazione: questi, infatti, non devono raccogliere più dati del necessario per consentire l’accesso alle informazioni presenti sui portali e sui servizi internet della PA.
Il Garante ritiene importante in egual misura che le linee guida dell’AgID siano integrate anche con l’avvertimento che l’uso di servizi di terze parti (come quelli di distribuzione dei font, di integrazione dei player video, etc.…) possono trasferire dati verso Paesi terzi e, pertanto, bisogna valutare, caso per caso, se v’è la sussistenza di un’idonea base giuridica e di adeguate garanzie ai sensi dell’art. 44 del GDPR.
Conclusioni
Le linee guida dell’AgID, una volta aggiornate con le indicazioni del Garante, costituiranno finalmente una nuova occasione per ripensare i processi di ogni PA, sia quelli relativi alle piattaforme digitali che quelli interni, di modo da mettere al centro la tutela dei dati personali di ogni cittadino italiano. Infatti, la loro implementazione porterà necessariamente gli enti a dover riesaminare le proprie policy e ad integrarle o rivederle in virtù delle prescrizioni del Garante.
Da consulente, inoltre, ritengo opportuno che le linee guida, una volta implementate con le indicazioni date dall’Autorità, siano tenute in considerazione anche dai privati, di modo da rendere accessibili i propri servizi dal più ampio parterre di pubblico possibile.
L’unica nota negativa, come ho avuto modo di dire, è l’occasione mancata per delineare delle icone o dei template di informative grafiche, di modo da uniformare il linguaggio non verbale e rendere, così, veramente le informative privacy più accessibili e comprensibili rispetto a quelle odierne, spesso ritenute dai più lunghe e noiose e, di conseguenza, inutili.
