Sviluppo e design siti web Pubblica Amministrazione: il parere del Garante Privacy

Diritto

Sviluppo e design siti web Pubblica Amministrazione: il parere del Garante Privacy

Il Garante per la protezione dei dati personali ha espresso parere favorevole, formulando richieste di integrazioni, allo schema di “Linee guida di design per i siti internet e i servizi digitali della PA”, contenenti regole che, in attuazione dell’art. 53, comma 1-ter, del CAD, definiscono i criteri da seguire per realizzare e modificare i siti web delle pubbliche amministrazioni.

Il nuovo provvedimento di Agid è stato predisposto in sostituzione del suo precedente “Linee guida per i siti web delle PA” di cui all’art. 4 della Direttiva del Ministro per la pubblica amministrazione e l’innovazione del 26 novembre 2009, n. 8 e riassume le azioni che le pubbliche amministrazioni dovrebbero compiere al fine di rendere sicuri e accessibili i siti web delle p.a. per gli utenti, garantendo la tutela dei dati personali sin dalla progettazione e per impostazione predefinita nel rispetto dell’art. 25 del GDPR.

Per quanto concerne la sicurezza del trattamento, il provvedimento in esame richiama la Circolare Agid del 18 Aprile 2017 n. 2. Secondo il Garante, tale rimando non è però sufficiente, in quanto la suddetta circolare è stata emanata prima dell’entrata in vigore del Regolamento n. 679/2016. Per l’Autorità, dunque, il testo andrebbe riformulato in modo da considerare la valutazione preliminare dei rischi necessaria per assicurare l’adozione di misure di sicurezza del trattamento “adeguate”, nel rispetto del Regolamento n. 679; il titolare, per poter adottare misure di sicurezza adeguate deve infatti vagliare, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi e conservati; inoltre, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, il titolare, ai sensi dell’art. 35 del Regolamento, deve effettuare, prima di procedere al trattamento, una valutazione d’impatto sulla protezione dei dati, consultando preventivamente il Garante al ricorrere delle condizioni previste dall’art. 36 del Regolamento.
A tal riguardo, il Garante suggerisce di richiamare nelle Linee Guida per la realizzazione dei siti delle p.a. odierne le indicazioni fornite dal Comitato europeo per la protezione dei dati nelle “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679”, adottate da ultimo il 4 ottobre 2017.

La trasparenza nei confronti degli interessati

Per quanto riguarda, in generale, la necessità di assicurare la trasparenza dei trattamenti effettuati nei confronti degli interessati, il Garante rileva che nello schema occorrerebbe specificare che:

nel rispetto di quanto previsto dall’art. 12 del Regolamento, le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
su ogni pagina del sito dovrebbe essere chiaramente visibile un collegamento ipertestuale diretto all’informativa sul trattamento dei dati personali, che riporti un testo come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”;
al momento della raccolta dei dati personali in ambiente online, dovrebbe, inoltre, essere fornito il link all’informativa sul trattamento dei dati personali o, in alternativa, le informazioni sul trattamento dei dati devono essere messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali;
nel caso in cui i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, sarà necessario fare in modo che gli interessati possano nel concreto fruire dei contenuti dell’informativa sul trattamento dei dati personali;
nei casi in cui i siti web o i servizi digitali siano specificamente indirizzati, invece, ai minori, l’informativa da rendere agli interessati dovrà essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa afferrare facilmente i relativi contenuti.

Qualora i servizi digitali vengano erogati mediante applicazioni per dispositivi mobili (app), le informazioni necessarie andrebbero messe a disposizione presso gli store delle app prima del download.
Una volta installata l’app, le informazioni devono continuare ad essere facilmente accessibili al suo interno. Il Garante precisa, inoltre, che le informazioni privacy devono essere facilmente individuabili e ciò si può ottenere ad es. includendo un’opzione “Privacy”/”Protezione dei dati” nella funzione di menù dell’app.
Per l’Autorità, sulla scorta delle “Linee guida sulla trasparenza ai sensi del regolamento 2016/679”, l’informativa sul trattamento dei dati personali deve essere specificamente formulata per l’app, non dovrebbe invece essere utilizzata l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente.
Lo schema dovrebbe poi prevedere l’obbligo di cui all’art. 37, par. 7, del Regolamento, di pubblicare i dati di contatto del responsabile della protezione dei dati (RPD), che le P.A. sono tenute a designare ai sensi dell’art. 37, par. 1, lett. a), del Regolamento. Come indicato nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” (doc. web n. 9589467) allegato al provv. 29 aprile 2021, n. 186 i tali dati di contatto devono essere riportati sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti. Non è necessario che, tra i dati oggetto di pubblicazione, vi sia anche il nominativo del DPO, non essendo tale informazione necessaria a fini di contatto da parte di chi sia interessato: al contrario, risulta imprescindibile che tra i dati di contatto vi sia almeno un indirizzo di posta elettronica ordinaria (e, eventualmente, un indirizzo di posta elettronica certificata).

L’utilizzo di cookie o di altri strumenti di tracciamento

L’impiego dei cookie o di altri strumenti di tracciamento, scrive il Garante, deve essere oggetto di un’attenta valutazione da parte della p.a.. Tale valutazione deve riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si vorranno compiere mediante i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice, considerando le garanzie da assicurare in occasione di possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, devono avvenire nel rispetto degli artt. 44 e ss. del Regolamento.
Qualora nel sito web e nel servizio digitale siano utilizzati cookie o altri strumenti di tracciamento, i titolari del trattamento, ai sensi degli artt. 12 e 13 del Regolamento, nonché 122 del Codice, sono tenuti ad informare gli utenti in merito all’impiego degli stessi, con le modalità illustrate nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021; per quanto concerne poi i casi in cui va richiesto il consenso all’attivazione dei cookie, il Garante precisa che è necessario assicurare, in ogni caso, la piena fruibilità del sito web o del servizio digitale anche nel caso di rifiuto dell’utente a prestare il consenso.

Nel provvedimento, si invitano le p.a. ad “aderire alla piattaforma Web Analytics Italia (WAI), soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle amministrazioni pubbliche italiane”, sul punto il Garante si riserva di approfondire il funzionamento della piattaforma suddetta, precisando che comunque è necessario definire e disciplinare i ruoli e le responsabilità del fornitore di tale piattaforma ai fini del rispetto della normativa in materia di protezione dei dati.

Rapporti con i fornitori dei servizi

In merito invece all’indicazione di “nominare Responsabili del trattamento ai sensi dell’art. 28 del GDPR gli eventuali fornitori dei servizi web che trattano dati personali per conto del soggetto titolare del trattamento”, pure prevista nello schema di Linee Guida di Agid qui in esame, il Garante rammenta che occorre:

ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”, anche in considerazione dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato, derivanti anche da eventuali trasferimenti di dati verso Paesi terzi;
regolare i trattamenti svolti per suo conto da parte del responsabile attraverso un accordo sulla protezione dei dati, individuando adeguatamente l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e, inoltre, vengano documentate le istruzioni fornite al responsabile del trattamento (art. 28 del Regolamento);
regolare la possibilità per il responsabile del trattamento di impiegare subresponsabili, in linea con l’art. 28, parr. 2 e 4, del Regolamento, individuando misure organizzative tese a garantire al titolare del trattamento, nel rispetto del principio di accountability, adeguati strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità (ad esempio, modalità di aggiornamento dell’elenco degli altri responsabili);
ripartire correttamente le responsabilità tra titolare e responsabile in merito al trattamento dei dati personali compiuto nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative, scongiurando, in particolare, inadeguati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento.

Le indicazioni offerte dal Garante vanno tenute presenti non solo nei rapporti con i “fornitori dei servizi web”, bensì con qualunque fornitore di servizi informatici, come, ad esempio, i fornitori di servizi di hosting o cloud computing, rispetto ai quali l’amministrazione agisce in qualità di titolare. Il documento in esame dovrebbe, inoltre, evidenziare che, allorquando tali fornitori di servizi siano stabiliti in Paesi terzi, occorre, altresì, soddisfare le condizioni previste dagli artt. 44 e ss. del Regolamento ai fini della liceità del trasferimento dei dati personali in tali Paesi.

L’utilizzo dei sistemi di autenticazione e di elementi di terze parti

Lo schema di linee guida, infine, sottolinea che “si deve garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti dal CAD” (paragrafo 5.6), il Garante, a tal proposito, evidenzia che, nel progettare i servizi digitali, occorre garantire il rispetto del principio di minimizzazione di dati, assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), del Regolamento e art. 27 del Regolamento recante le modalità attuative per la realizzazione dello SPID).

Concludendo, l’Autorità Garante ritiene necessario altresì che venga precisato nelle linee guida che l’utilizzo di eventuali elementi di terze parti incorporati sui propri siti web (ad esempio, font tipografici, video player, social plug-in, ecc.) può comportare la comunicazione di dati personali a terzi, nonché, in certe circostanze, anche il trasferimento dei dati personali verso Paesi terzi, situazioni che richiedono valutazioni, caso per caso, rispetto alla sussistenza di un’idonea base giuridica (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice) e di adeguate garanzie ai sensi degli artt. 44 e ss. del Regolamento.