In un parere sintetico, chiaro e completo il Garante per la protezione dei dati personali declina i punti di attenzione da tenere presenti nello sviluppo dei siti web delle PA, traendo spunto dallo Schema di (nuove) Linee guida AgID di design per i siti internet e i servizi digitali delle PA, sottoposte alla sua attenzione.
Il Garante illustra ogni necessità da prendere in considerazione, dai principi di privacy by design e by default, alla ripartizione dei ruoli sino al trasferimento dei dati all’estero, in relazione allo sviluppo e manutenzione di siti web e app.
Accessibilità siti PA: tutto sulle nuove modalità per definire e pubblicare gli obiettivi
Le Linee Guida AgID di design per i siti e i servizi digitali delle PA
Lo Schema di Linee guida, che tiene conto degli esiti della consultazione pubblica effettuata da AgID, annulla e sostituisce le precedenti “Linee guida per i siti web delle PA” di cui all’art. 4 della Direttiva del Ministro per la pubblica amministrazione e l’innovazione del 26 novembre 2009, n. 8.
I destinatari del documento di AgID sono le pubbliche amministrazioni, comprese le autorità di sistema portuale, le autorità amministrative indipendenti di garanzia, vigilanza e regolazione, i gestori di pubblici servizi (comprese le società quotate) e le società in controllo pubblico (escluse quelle quotate), così come definite nell’art. 2, comma 2, lett. a), del CAD (D.Lgs. 82/2005).
Lo scopo del documento, quindi, è quello di definire e orientare la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni.
Tuttavia, le considerazioni e le indicazioni formulate dal Garante per la protezione dei dati personali nel parere sullo schema di tali Linee guida risultano estremamente utili per qualunque titolare di siti web e servizi on line.
Vediamo nel dettaglio le indicazioni fornite ad AgID dal Garante per integrare lo schema di Linee guida, affinché i trattamenti di dati personali posti in essere siano pienamente conformi ai principi e di privacy by design e by default (art. 25 del GDPR).
Sicurezza del trattamento
Il Garante ha osservato che, al fine di garantire la protezione dei dati personali, nello sviluppo di un sito web o di un servizio digitale, secondo i principi di privacy by design e privacy by default, sia necessario integrare lo Schema di AgID con un espresso rimando alle indicazioni fornite dal Comitato europeo per la protezione dei dati nelle “Linee guida 4/2019 sull’articolo 25 GDPR – Protezione dei dati fin dalla progettazione e per impostazione predefinita” del 20 ottobre 2020.
Peraltro, in materia di adozione di misure di sicurezza, come già chiarito dal Garante nei precedenti recenti pareri sullo Schema di “Linee guida – La Sicurezza nel procurement ICT” del 30 gennaio 2020 e in quello reso sullo Schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” del 13 febbraio 2020, non è sufficiente il mero rinvio alla circolare AgID del 18 aprile 2017, n. 2, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni», per indicare i requisiti di sicurezza a cui sono tenuti i vari soggetti coinvolti nel trattamento, poiché l’adozione delle misure minime indicate in quella circolare non è sempre (e di per sé sufficiente) ad assicurare l’adozione di misure di sicurezza del trattamento che siano “adeguate” per i rischi legati a tutti i trattamenti di dati personali. Diversamente, in ossequio a quanto previsto dal GDPR, occorre valutare caso per caso, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.
L’Autorità, inoltre, ha ritenuto necessario richiedere di integrare lo Schema precisando che, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, il titolare, ai sensi dell’art. 35 del Regolamento, deve effettuare, prima di procedere al trattamento, una valutazione d’impatto sulla protezione dei dati, consultando preventivamente il Garante al ricorrere delle condizioni previste dall’art. 36 del Regolamento. Sul punto, il Garante ha suggerito di inserire un esplicito rinvio alle indicazioni del Comitato europeo per la protezione dei dati nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati” adottate dal Comitato europeo per la protezione dei dati il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017.
Trasparenza nei confronti degli interessati
Relativamente ai profili di trasparenza, il Garante raccomanda di integrare lo Schema di Linee guida di design per i siti internet e i servizi digitali delle PA, specificando che:
– ai sensi dell’art. 12 GDPR, le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
– su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali, che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”);
– al momento della raccolta dei dati personali in ambiente online, deve, inoltre, essere fornito il link all’informativa sul trattamento dei dati personali o, in alternativa, le informazioni sul trattamento dei dati devono essere messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali;
– nel caso in cui i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, è necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dell’informativa sul trattamento dei dati personali;
– qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), l’informativa sul trattamento dei dati personali deve riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente. Inoltre, le informazioni necessarie devono essere messe a disposizione presso gli store delle app prima del download e, una volta installata l’app, le stesse informazioni devono continuare a essere facilmente accessibili al suo interno (garantendo che le informazioni non siano mai a più di due “tocchi” di distanza, ad es. includendo un’opzione “Privacy”/“Protezione dei dati” nella funzione di menù dell’app);
– pubblicare i dati di contatto del DPO o RPD (Data Protection Officer o Responsabile della protezione dei dati) in considerazione dell’obbligo di designare tale figura per le autorità pubbliche o gli organismi pubblici e di pubblicarne i relativi dati di contatto (art. 37, par. 1, lett. a e par.7, GDPR). Nello specifico, la pubblicazione di tali dati di contatto – che, seppur non deve riportare espressamente il nominativo del DPO, risulta imprescindibile che contenga un indirizzo di posta elettronica ordinaria ed eventualmente un indirizzo di posta elettronica certificata – deve essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti.
Utilizzo di cookie o di altri strumenti di tracciamento
In primo luogo, il Garante raccomanda un’attenta valutazione circa la necessità del ricorso all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla pubblica amministrazione. Tale valutazione deve riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono realizzare attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice in materia di protezione dei dati personali[1], tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, devono avvenire nel rispetto degli artt. 44 e ss. del Regolamento.
Sul punto, l’Autorità sottolinea la necessità di integrare lo Schema di Linee guida inserendo opportuni riferimenti alle modalità di rendere l’informativa e alle indicazioni in materia di richiesta di consenso contenute nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021 dello stesso Garante, che integrano e precisano quanto illustrato nel precedente provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” dell’8 maggio 2014, n. 229.
Rapporti con fornitori dei servizi
Con riguardo all’indicazione di “nominare Responsabili del trattamento ai sensi dell’art. 28 del GDPR gli eventuali fornitori dei servizi web che trattano dati personali per conto del soggetto titolare del trattamento”, il Garante evidenzia la necessità di specificare alcuni aspetti nello Schema di Linee guida, che tuttavia possono ritenersi validi non solo nei rapporti con i “fornitori dei servizi web”, bensì con qualunque fornitore di servizi informatici, come, ad esempio, i fornitori di servizi di hosting o cloud computing, rispetto ai quali la pubblica amministrazione agisce in qualità di titolare.
Nello specifico, ad avviso del Garante, il titolare del trattamento deve:
- valutare le garanzie presentate dal Responsabile, ossia ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato”, anche in considerazione dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato, derivanti anche da eventuali trasferimenti di dati verso Paesi terzi;
- predisporre un apposito accordo con il responsabile, ai sensi dell’art. 28 GDPR, fornendo allo stesso documentate istruzioni per il trattamento (individuando adeguatamente l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e, inoltre, documentando le istruzioni fornite al responsabile del trattamento);
- disciplinare la possibilità per il responsabile del trattamento di ricorrere ad altro responsabile, in conformità all’art. 28, paragrafi 2 e 4, del GDPR, individuando misure organizzative volte a garantire al titolare del trattamento, in ossequio al principio di accountability, idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità (ad esempio, modalità di aggiornamento dell’elenco degli altri responsabili);
- evitare di accettare condizioni contrattuali standard che prevedano esoneri di responsabilità non proporzionati in favore del responsabile, con margini di negoziazione pressoché nulli in capo al titolare del trattamento, e individuare una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative;
- qualora i fornitori di servizi siano stabiliti in Paesi terzi, occorre, altresì, soddisfare le condizioni previste dagli artt. 44 e ss. del GDPR ai fini della liceità del trasferimento dei dati personali in tali Paesi.
Utilizzo dei sistemi di autenticazione e di elementi di terze parti
Il Garante richiama l’attenzione sul rispetto del principio di minimizzazione di dati in fase di progettazione dei servizi on line, in modo da assicurare che, nell’ambito delle procedure di autenticazione informatica in cui devono essere rispettati i principi del CAD (D.Lgs. n. 82/2005), siano acquisiti e successivamente trattati solo dati personali degli utenti – attributi dell’identità digitale – adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), del GDPR e art. 27 del Regolamento recante le modalità attuative per la realizzazione dello SPID[2]).
Inoltre, l’Autorità ritiene necessario che lo Schema di Linee guida sia integrato al fine di contemplare l’ipotesi in cui i siti web istituzionali incorporino elementi di terze parti (ad esempio, font tipografici, video player, social plug-in, ecc.): l’utilizzo di tali elementi, infatti, può comportare la comunicazione di dati personali a terzi, nonché, in taluni casi, anche il trasferimento dei dati personali in Paesi terzi. A seconda del caso, dunque, occorrerà valutare la sussistenza di un’idonea base giuridica (cfr. artt. 5, par. 1, lett. a), e 6 del GDPR, nonché 2-ter del Codice in materia di protezione dei dati personali) e di adeguate garanzie, ai sensi degli artt. 44 e ss. del GDPR.
Conclusioni
Nel provvedimento l’Autorità garante si riserva di formulare anche qualche “stoccatina” ad AgID: innanzitutto, non manca di sottolineare che la Circolare AgID 2/2017 relativa alle misure minime ICT (richiamata nello Schema) è stata emanata prima del 25 maggio 2018, data di piena e diretta efficacia del GDPR, e quindi non esprime al meglio il concetto di accountability.
Altro punto su cui il Garante ha “richiamato” AgID riguarda l’invito ad aderire alla piattaforma Web Analytics Italia – WAI (soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle amministrazioni pubbliche italiane) contenuto nello Schema, perché tale piattaforma (incredibilmente!) non è stata mai portata alla sua attenzione per una doverosa valutazione.
In ogni caso, questo provvedimento del Garante sullo Schema di Linee Guida AgID di design per i siti internet e i servizi digitali delle PA è un documento da leggere con attenzione, perché contiene il giusto metodo e i punti di attenzione da considerare per qualsiasi DPO che intenda valutare la conformità al GDPR di siti internet e servizi digitali di organizzazioni pubbliche e private.
Note
- Art. 122 D.Lgs. 196/2003: “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. (Omissis)”. ↑
- Art. 27 del Regolamento recante le modalità attuative per la realizzazione dello SPID (ai sensi dell’articolo 4, comma 2, DPCM 24 ottobre 2014): “I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policydovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa (omissis)”. ↑
