Linee Guida per la realizzazione dei siti

Mar 15, 2022 | Data Protection, Nuove Tecnologie

Parere del Garante Privacy sullo schema di Linee guida per i siti internet e i servizi digitali della PA, predisposto dall’AgID.

 

L’Autorità Garante per la Protezione dei Dati Personali ha pubblicato il proprio parere sulle Linee Guida dell’Agenzia per l’Italia Digitale in materia di linee guida per la realizzazione e il design dei siti internet e, in generale, dei servizi digitali della Pubblica Amministrazione.

Il parere, che si concentra sulle modalità per la realizzazione e la modifica dei siti internet, è estremamente interessante perché a nostro avviso utile per chiunque voglia progettare e realizzare un servizio che tenga correttamente conto delle necessità di adeguata protezione delle informazioni personali, ossia della normativa privacy.

La finalità delle Linee Guida sono principalmente quelle di

  • rendere accessibili a tutti gli utenti i siti web e i servizi digitali delle pubbliche amministrazioni;
  • mettere in sicurezza i siti e i servizi stessi;
  • migliorare l’esperienza d’uso dei siti e dei servizi mediante la rilevazione qualitativa e quantitativa dei dati di fruizione, aderendo “alla piattaforma Web Analytics Italia (WAI);
  • prevedere un’esperienza d’uso comune, garantendo l’accesso con i sistemi di autenticazione previsti dal CAD e
  • consentire agli utenti di effettuare i pagamenti online.

 

 

Affidabilità e sicurezza di siti e servizi

Le Linee Guida AgID sono tese a:

  • garantire la protezione dei dati personali, by design e by default, dei siti;
  • rispettare almeno i livelli base di sicurezza ICT;
  • mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio;
  • pubblicare, sui siti, le informative sul trattamento e provvedere correttamente alle eventuali richieste di consenso, anche con riferimento all’uso dei cookie;
  • inserire i trattamenti di dati personali nel Registro dei trattamenti e nominare Responsabili del trattamento ai sensi dell’art. 28 del GDPR gli eventuali fornitori dei servizi web.

 

Sicurezza del trattamento

L’Autorità Garante sottolinea, in primo luogo, la necessità di riformulare alcune prescrizioni al fine di adeguare le misure di sicurezza ICT per le pubbliche amministrazioni ad un livello tale che sia idoneo a soddisfare i principi generali previsti dal Regolamento Europeo “Gdpr”, applicabile da epoca successiva a quella della emanazione delle “Misure minime” per le PP.AA (che sono relative ad una circolare AgID del 2017).

Il Garante, in particolare, sottolinea la necessità di osservare con scrupolo i principi generali posti dall’art. 5 del Gdpr (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza) oltre che quelli più specifici in tema di sicurezza generale dei trattamenti (art. 32).

Al riguardo, ulteriormente, l’Autorità rammenta la necessità, espressamente prevista dall’art. 35 del Gdpr ma anche da importanti e cogenti provvedimenti e del Board Europeo dei Garanti e dell’Autorità stessa, di procedere con idonea valutazione di impatto del trattamento, precedente all’inizio dello stesso, ove questo possa presentare rischi elevati per i diritti e le libertà fondamentali degli interessati (il riferimento è, ovviamente, alle Linee Guida WP 29, oggi EDPB 248 del 2017 e al provvedimento del G.P. dell’ottobre 2018 sui trattamenti che necessitano di previa Dpia).

 

 

Trasparenza e Minori

La trasparenza dei trattamenti effettuati mediante servizi e siti deve essere una priorità.

Il Garante rimarca come le informazioni sul trattamento devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.

Su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali e, al momento della raccolta dei dati, deve essere fornito il link a tale informativa o, in alternativa, le informazioni devono essere direttamente messe a disposizione dell’utente.

E’ altrettanto importante che quando i siti o i servizi siano indirizzati a soggetti con disabilità, si faccia in modo che essi possano effettivamente fruire dei contenuti delle informazioni.

Nel caso di servizi per i minori, invece, l’informativa deve essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che il contenuto sia agevolmente comprensibile anche da un minore.

 

App, dispositivi mobili e contatto con il DPO

Analogamente, qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili, le informazioni devono essere messe a disposizione presso gli store prima del download.

Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno.

Ulteriormente, il Garante sottolinea, come previsto dall’art. 37 del Gdpr, la necessità di pubblicazione del recapito del Responsabile della Protezione dei Dati.

 

 

Cookie e tracciamento

L’utilizzo di tali strumenti deve essere, ovviamente a maggior ragione per una P.A., esaminato con attenzione sia in relazione alla effettiva necessità, sia in relazione alle specifiche finalità perseguite.

E’ necessario, innanzi tutto, informare gli utenti seguendo le indicazioni da ultimo rese proprio dal Garante con le Linee Guida sugli strumenti di tracciamento, applicabili dall’inizio del 2020 si veda anche l’articolo al seguente indirizzo: https://studiolegalebroglia.com/2021/12/23/cookie-manca-poco-al-9-gennaio/).

L’Autorità rimarca di non essere stata interessata in merito all’utilizzo della piattaforma Web Analytics Italia, cui le Linee Guida AgID fanno riferimento, ma si ripropone di eseguire opportune verifiche al fine di analizzare l’utilizzo di strumenti cc.dd. di analytics.

 

Fornitori, sistemi di autenticazione, servizi di terze parti

Infine, il provvedimento del Garante rimarca la necessità di osservare scrupolosamente le norme che riguardano fornitori e supply chain, ovviamente di estremo interesse e attualità nel commissionamento di servizi digitali e informatici: (si pensi ai fornitori di servizi informatici, ma anche di web hosting, cloud computing e così via) è evidente che il demandare attività di trattamento di dati personali, da parte del Titolare del trattamento, a uno o più responsabili e, da questi, ad ulteriori sub responsabili, necessita di attente e scrupolose contrattazioni ai sensi dell’art. 28 del Gdpr.

Quanto alla autenticazione ai servizi digitali, il Garante rimarca che nella progettazione occorre sempre assicurare il rispetto dei principi di minimizzazione.

L’ultimo, ma non per importanza, punto sul quale l’Autorità pone l’attenzione riguarda l’utilizzo di eventuali elementi di terze parti incorporati sui siti web (come ad esempio font tipografici, video player, social plug-in, ecc.), che può comportare, e generalmente comporta, la comunicazione di dati personali a terzi e talvolta anche il trasferimento dei dati personali in Paesi terzi.

Tali trattamenti, sottolinea il Garante, richiedono valutazioni caso per caso in ordine alla sussistenza di un’idonea base giuridica e di adeguate garanzie.

 

15 marzo 2022