Siti web della PA: sì del Garante privacy alle Linee guida AgID. Ma il percorso è ancora lungo

Il Garante per la protezione dei dati personale (di seguito: Garante) con provvedimento n. 76 del 24 febbraio 2022 ha espresso parere favorevole, con osservazioni, alle “Linee guida di design per i siti internet e i servizi digitali della PA” proposte dall’Agenzia per l’Italia Digitale (di seguito: AgID). Le Linee guida di design per i servizi web della PA si pongono l’obiettivo di definire e orientare la progettazione e la realizzazione dei servizi digitali erogati dalle amministrazioni pubbliche. Vediamo meglio cosa prevedono e quali sono le osservazioni del Garante, che dovranno essere recepite dall’AgID nel testo finale.

Linee guida di design per i servizi web della PA: i contenuti

Le Linee Guida elaborate dall’AgID, trasmesse al Garante con nota del 5 luglio 2021 al termine di una pubblica consultazione, fissano le regole tecniche che i siti internet e tutti i servizi digitali della PA devono rispettare sulla base dei principi indicati all’art. 53 del Codice dell’amministrazione Digitale1 (di seguito: CAD) e andranno ad annullare e sostituire le precedenti “Linee guida per i siti web delle PA” di cui all’art. 4 della Direttiva del Ministro per la pubblica amministrazione e l’innovazione del 26 novembre 2009, n. 8.

L’AgID intende così offrire ai titolari del trattamento, e ai soggetti coinvolti nel procedimento, indicazioni utili per definire e orientare la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni al fine di assicurare la protezione dei dati personali trattati nell’ambito della gestione dei siti web e dei servizi digitali nel pieno rispetto del principio di privacy by design e by default.

L’AgID pone in particolare attenzione sulle azioni che le pubbliche amministrazioni devono porre in essere al fine di rendere accessibili a tutti gli utenti, i siti web e i servizi digitali, nel rispetto dei requisiti di legge e garantendo loro sicurezza nel pieno rispetto del Regolamento Generale sulla protezione dei dati UE 2016/679 (di seguito: Regolamento o GDPR) e del Codice Privacy.

In particolare si tratta di interventi mirati a garantire:

1. accessibilità: nei contratti di gara per lo sviluppo dei siti web deve essere inserita l’indicazione di aderenza alle linee guida sull’accessibilità degli strumenti informatici emanate da AgID;
2. affidabilità: nello sviluppo di un sito web o di un servizio digitale deve essere garantita la protezione dei dati personali, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR;
3. sicurezza: occorre rispettare almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore; ne va assicurata elevata usabilità e reperibilità per tutti i soggetti; devono essere poste in essere misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di accountability ai sensi dell’art. 5, par. 2 del GDPR;
4. trasparenza: ogni sito deve contenere una completa e chiara informativa sul trattamento dei dati personali e chiedere il consenso ove necessario, anche con riferimento all’uso dei cookie; devono essere nominati i Responsabili del trattamento, in particolare gli eventuali fornitori di servizi web che trattano dato personali per conto del titolare del trattamento e istituito il Registro dei trattamenti;
5. semplicità di consultazione e uso, completezza di informazione, chiarezza di linguaggio: devono essere definiti in modo esplicito gli obiettivi, i destinatari e gli attori coinvolti nel processo di progettazione; occorre utilizzare un linguaggio e un’organizzazione dei contenuti web adeguati all’utente destinatario; il contenuto pubblicato deve essere facilmente trovabile dai motori di ricerca esterni e interni al sito;
6. qualità: deve essere garantito un monitoraggio continuo e audit periodici sui servizi e sulla loro qualità[1] assicurando anche un’interfaccia con l’utente semplice da utilizzare su qualsiasi dispositivo;
7. omogeneità: occorre garantire contenuti obbligatori comuni per tutta la PA e l’interoperabilità tra le diverse procedure on line. L’accesso ai diversi servizi digitali della pubblica amministrazione deve essere assicurato con i sistemi di autenticazione previsti dal CAD.

Le nuove Linee guida di design per i servizi web della PA, che perseguono l’obiettivo di adeguare le precedenti indicazioni al nuovo contesto tecnologico e normativo, con lo scopo di fornire un supporto evolutivo per la loro pratica attuazione, mettono anche a disposizione delle PA un insieme di indicazioni e strumenti operativi di ausilio alla progettazione e allo sviluppo dei servizi digitali. Già è stata attuata una prima fase di formazione e informazione dedicata.

Al termine della consultazione il testo, rielaborato alla luce delle osservazioni pervenute, è stato trasmesso al Garante, al Dipartimento per la Funzione Pubblica, al Ministero per lo Sviluppo economico, alla Conferenza unificata e alla Commissione Europea, per l’espressione dei previsti pareri.

Linee guida di design per i servizi web della PA: il parere del Garante

Il Garante ha espresso la propria posizione con il provvedimento n. 76 del 24 febbraio 2022 (di seguito: Provvedimento 76/22) rilevando, in primo luogo, come le Linee Guida che, per loro stessa natura, si rivolgono ad un numero elevato di soggetti, per numero e per caratteristiche, costituiscono prezioso strumento e opportunità unica per indicare ai titolari del trattamento, e ai soggetti coinvolti a vario titolo (non necessariamente pubblici) percorsi da seguire e principi da assicurare per garantire un alto ed uniforme livello di protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali[2].

Il parere favorevole del Garanteè però condizionato al recepimento delle indicazioni puntuali contenute nel Provvedimento 76/22: integrazioni necessarie che hanno l’obiettivo di fornire, alle amministrazioni pubbliche destinatarie, indicazioni corrette atte ad assicurare che i trattamenti di dati personali effettuati, nell’ambito della progettazione e gestione dei siti web e dei servizi digitali, siano pienamente conformi ai principi e alle misure di garanzia previste dalla normativa nazionale ed europea a tutela dei dati personali delle persone fisiche.

In particolare, il Garante evidenzia 5 macro-aree delle Linee guida dove occorre intervenire:

La sicurezza del trattamento

1. il corretto richiamo ai principi della privacy by design e by default di cui all’art. 25 del GDPR deve essere integrato con un espresso rimando anche alle indicazioni contenute nelle Linee guida del Comitato europeo per la protezione dei dati (di seguito: EDPB) 4/2019 sull’articolo 25 -Protezione dei dati fin dalla progettazione e per impostazione predefinita come riadottate il 20 ottobre 2020 – Versione 2.0;
2. il richiamo alle misure minime di sicurezza contenute nella circolare AgID del 18/4/17, n. 2, non è di per sé sufficiente ad assicurare che il titolare metta in atto misure tecniche ed organizzative “adeguate per garantire, ed essere in grado di dimostrare che il trattamento” sia effettuato in conformità al Regolamento. Diversamente occorre assicurare che il titolare valuti, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati. Tali considerazioni portano il Garante a richiedere una riformulazione del testo: “l’adozione delle predette misure minime non è di per sé idonea a soddisfare in tutti casi i requisiti previsti dagli artt. 5, par. 1, lett. f), e 32 del Regolamento, e che dunque una valutazione in tal senso deve essere effettuata, in maniera puntuale, dai titolari del trattamento”;
3. inoltre, ove si sia in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, occorre espressamente richiamare la necessità che il titolare effettui una valutazione d’impatto sulla protezione dati prima di avviare il trattamento anche consultando preventivamente il Garante, nel caso in cui ricorrano le condizioni di cui all’art. 36 del GDPR.

La trasparenza nei confronti degli interessati

Il Garante evidenzia la necessità di integrare le Linee Guida specificando che:

• le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso nel caso in cui siano destinate a minori;
• su ogni pagina del sito e al momento di ogni raccolta dati personali on line, deve essere inserito, chiaramente visibile, un link diretto all’informativa sul trattamento dei dati personali;
• le medesime garanzie devono essere assicurate e aggiornate qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili;
• tutte le PA devono pubblicare i dati di contatto del responsabile della protezione dei dati, nel rispetto dell’obbligo cui sono tutte tenute ai sensi dell’art. 37, par. 1, lett. a), del GDPR.

L’utilizzo di cookie o di altri strumenti di tracciamento

• l’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale deve essere preceduto da un’attenta valutazione in ordine alla necessità stessa del ricorso a tali strumenti, alle finalità perseguite e alla base giuridica degli eventuali successivi trattamenti ivi compresi possibili trasferimenti di dati verso paesi terzi;
• le Linee Guida devono richiamare i contenuti delle Linee guida 10 giugno 2021 adottate dal Garante in materia ed in particolare occorre sottolineare la necessità di garantire che il sito o il servizio digitale sia pienamente fruibile anche nell’ipotesi in cui l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate;
• relativamente all’invito ad aderire alla piattaforma “Web Analytics Italia (WAI), soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle amministrazioni pubbliche italiane” il Garante oltre a riservarsi gli opportuni approfondimenti (“non è stata sottoposta all’attenzione del Garante”) sottolinea la necessità che gli utenti ne siano debitamente informati ai sensi degli artt. 12 e 13 del GDPR e che siano, con chiarezza e trasparenza, definiti e disciplinati i ruoli e le responsabilità del fornitore e gestore di tale piattaforma sempre nel rispetto della normativa in materia di protezione dei dati.

Rapporti con i fornitori dei servizi

Le Linee Guida, oltre a richiamare i contenuti delle Guidelines 07/2020 on the concepts of controller and processor in the GDPR, adottate dall’EDPB il 7 luglio 2021, devono espressamente sottolineare l’esigenza che il titolare debba:

• ove necessario esternalizzare l’attività, ricorrere unicamente a responsabili del trattamento che offrano garanzie di poter mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del Regolamento e garantire la tutela dei diritti dell’interessato;
• assicurare che i rapporti tra titolare e responsabile siano disciplinati da un contratto o altro atto giuridico vincolante che contenga tutti gli elementi di cui all’art. 28 del GDPR;
• individuare le misure organizzative volte a garantire, in ossequio al principio di accountability, la presenza di idonei strumenti di controllo delle attività di trattamento effettuate dal responsabile;
• individuare una corretta ripartizione delle responsabilità oltre ad un attento esame allorquando tali fornitori di servizi siano stabiliti in Paesi terzi.

L’utilizzo dei sistemi di autenticazione e di elementi di terze parti

1. il Garante evidenzia la necessità che le Linee Guida espressamente facciano riferimento all’esigenza di garantire il rispetto del principio di minimizzazione di dati nella progettazione dei servizi digitali, assicurando altresì che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati, solo dati personali degli utenti adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
2. le Linee Guida devono altresì esplicitare che l’utilizzo di eventuali elementi di terze parti incorporati sui siti web (ad esempio, font tipografici, video player, social plug-in, ecc.) può comportare la comunicazione di dati personali a terzi, nonché, in taluni casi, anche il trasferimento dei dati personali in Paesi terzi. Ciò determina la necessità che, caso per caso, il titolare effettui una valutazione in ordine alla sussistenza di un’idonea base giuridica e di adeguate garanzie per i soggetti interessati.

Conclusioni e prossimi passi per le Linee guida di design per i servizi web della PA

Come appare evidente le osservazioni del Garante, vincolanti e puntuali, interessano passaggi rilevanti delle Linee Guida (in particolare quelle relative alle misure di sicurezza, alle garanzie per la scelta di un fornitore avente sede in paesi terzi e all’obbligo di minimizzazione dei dati trattati) e dovranno essere recepite dall’AgID nel testo finale delle Linee Guida; testo che dovrà, inoltre, anche tener conto delle osservazioni che perverranno dagli altri soggetti coinvolti nel procedimento.

Dopo la pubblicazione in Gazzetta Ufficiale e sul sito dell’AgID, al termine dell’intero processo, le nuove Linee Guida entreranno ufficialmente in vigore e si potrà avviare il percorso virtuoso di adeguamento da parte di tutte le pubbliche amministrazioni.

[1] Monitoraggio dei servizi attraverso la rilevazione qualitativa e quantitativa dei dati di fruizione possibile anche aderendo “alla piattaforma Web Analytics Italia (WAI), soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle amministrazioni pubbliche italiane”.

[2] Destinatari delle Linee Guida sono le pubbliche amministrazioni, così come definite nell’art. 2, comma 2, lett. a), del CAD che ne prevede l’applicabilità “alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione”.