Siti internet delle PA: il parere del Garante sulle linee guida AgID

L’agenzia per l’Italia Digitale (AGID) ha recentemente sottoposto al Garante per la Privacy lo schema delle “Linee guida di design per i siti internet e i servizi digitali della PA”, contenente le regole che definiscono “le modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni”. In questo articolo analizzeremo il contenuto del documento e le osservazioni del Garante in merito.

I destinatari e il contenuto del documento delle linee guida AgID

Le linee guida AgID in oggetto sono destinate alla Pubblica Amministrazione, con l’obiettivo di “definire e orientare la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni”, come stabilito dal paragrafo 2.1 del documento stesso.

Lo scopo è quello di orientare la progettazione di ambienti digitali fornendo indicazioni relative al servicedesign (progettazione di servizi), al content design (progettazione dei contenuti), alla user research (ricerca con gli utenti) e alla user interface (interfaccia utente).

Nel capitolo introduttivo delle linee guida AgID viene esposto un quadro sinottico degli obiettivi e delle azioni che la pubblica amministrazione deve attuare per progettare servizi volti ai bisogni delle persone. Successivamente vi è un capitolo dedicato alla progettazione e al prototipo di un servizio digitale ideato per essere il punto di incontro delle diverse competenze necessarie allo sviluppo di un servizio della pubblica amministrazione.

Viene inoltre descritto che lo scopo principale è quello di garantire la sicurezza dei siti web e dei servizi digitali ponendo in essere le seguenti azioni:

• assicurare la protezione dei dati personali attraverso la sviluppo di un sito web o servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR;
• rispettare almeno il livello base di sicurezza stabilito dalle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” nel caso in cui non venga esplicitamente richiesto un livello superiore;
• effettuare misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR”;
• pubblicare sul singolo sito l’informativa sul trattamento dei dati personali e chiedere il consenso, laddove necessario, riguardo l’uso dei cookie;
• provvedere a inserire i trattamenti di dati personali nel Registro dei trattamenti e nominare Responsabili del trattamento ai sensi dell’art. 28 del GDPR gli eventuali fornitori dei servizi web che trattano dati personali per conto del soggetto titolare del trattamento.

Il parere del Garante sulle linee guida AgID

Il Garante per la protezione dei dati personali analizzando il documento ha espresso il suo parere favorevole, rendendo quindi valide le linee guida AgID. Il documento è un ottimo strumento per offrire ai titolari del trattamento, e ai soggetti coinvolti, indicazioni utili volte ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in riferimento al principio di privacy by design e by default.

Nonostante la sua validità e l’approvazione dal parte del Garante le linee guida AgID hanno bisogno di ulteriori modifiche volte ad assicurarne la conformità al Regolamento e al Codice della privacy. In particolare il Garante stabilisce che lo schema delle linee guida AgID dovrà essere integrato con le indicazioni relative a:

1. la sicurezza del trattamento;
2. la trasparenza nei confronti degli interessati;
3. l’utilizzo di cookie o di altri strumenti di tracciamento;
4. i rapporti con i fornitori dei servizi;
5. l’utilizzo dei sistemi di autenticazione e di elementi di terze parti.

La sicurezza del trattamento nelle linee guida AgID

Per quanto concerne la sicurezza del trattamento nelle linee guida AgID il Garante analizzandole prende in considerazione l’indicazione, contenuta nel paragrafo 5.2,  che esplicita di “garantire la protezione dei dati personali, nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR”.

La suddetta indicazione va integrata con un esplicito rimando alle informazioni fornite dal Comitato europeo per la protezione dei dati nelle “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate il 20 ottobre 2020.

Inoltre, le linee guida AgID fanno anche riferimento alla necessità di rispettare almeno il livello base di sicurezza stabilito dalle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” elaborata dalla circolare AgID del 2017, il Garante sottolinea che il suddetto riferimento è corretto ma che necessita di un ulteriore modifica. La circolare, infatti,non è sufficiente e non permette di assicurare misure di sicurezza del trattamento adeguate al Regolamento, del quale bisogna valutare i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.

Il Garante evidenzia un altro punto che necessità modifica. In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche (considerati la natura, l’oggetto, il contesto e le finalità del trattamento) il titolare, ai sensi dell’art. 35 del Regolamento, deve effettuare, prima di procedere al trattamento, una valutazione d’impatto sulla protezione dei dati, consultando preventivamente il Garante al ricorrere delle condizioni previste dall’art. 36 del Regolamento.

La trasparenza nei confronti degli interessati nelle linee guida AgID

Per quanto riguarda la trasparenza dei trattamenti effettuati nei confronti degli interessati il Garante predispone le seguenti modifiche delle linee guida AgID:

• considerato quanto previsto dall’art. 12 del Regolamento le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, inoltre è importante che siano formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
• in ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali, che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”);
• durante le raccolte dei dati personali in ambiente online deve essere fornito il link all’informativa sul trattamento dei dati personali. In alternativa devono essere messe a disposizione le informazioni sul trattamento nella stessa pagina in cui sono raccolti i dati personali;
• i contenuti dell’informativa sul trattamento dei dati personali devono essere facilmente fruibili per i siti web, o servizi digitali, specificatamente indirizzati a soggetti con disabilità;
• per quanto concerne i siti web, o servizi digitali, indirizzati ai minori è fondamentale che l’informativa sia redatta con un linguaggio semplice e chiaro, in modo tale che il minore possa comprenderne facilmente i contenuti.

Allo stesso modo, per quanto concerne l’erogazione dei servizi digitali mediante applicazioni per dispositivi mobili (app), le informazioni necessarie devono essere messe a disposizione prima del download. Avvenuta l’installazione le informazioni devono essere facilmente accessibili (includendo ad esempio un opzione “Privacy”/”Protezione dei dati” nella funzione di menù dell’app) inoltre l’informativa sul trattamento dei dati personali dovrà riguardare l’app nello specifico e non semplicemente l’informativa della PA che è proprietaria dell’applicazione.

L’utilizzo di cookie o altri strumenti di tracciamento nelle linee guida AgID

Un altro punto analizzato dal Garante nelle linee guida AgID  riguarda l’utilizzo dei cookie e di altri strumenti di tracciamento i quali meritano un’attenta valutazione sia sulla base giuridica dei trattamenti successivi che si intendono affrontare dopo la raccolta dei dati, sia rispetto alle garanzie che si devono assicurare agli utenti in relazione ai possibili trasferimenti di dati verso Paesi terzi (che devono avvenire nel rispetto degli artt. 44 e ss. del Regolamento).

I titolari del trattamento nel caso in cui un sito web, o applicazione, siano utilizzati dei cookie o altri strumenti di tracciamento devono informare gli utenti in merito all’impiego degli stessi, con le modalità illustrate nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021, ai sensi degli artt. 12 e 13 del Regolamento, nonché 122 del Codice.

Inoltre, il consenso all’utilizzo dei cookie dovrà avvenire nel rigoroso rispetto del principio di correttezza e si dovrà assicurare la piena fruibilità del sito web o del servizio digitale, anche nel caso in cui l’utente non intenda accettare l’utilizzo dei cookie.

I rapporti con i fornitori dei servizi nelle linee guida AgID

Un’ulteriore modifica delle linee guida AgID riguarda gli eventuali fornitori dei servizi web che trattano dati personali per conto del Titolare del trattamento, quest’ultimo secondo il Garante avrà l’obbligo di:

• ricorrere a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;
• regolare i trattamenti svolti tramite un accordo che individui adeguatamente l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e, inoltre, vengano documentate le istruzioni fornite al responsabile del trattamento;
• disciplinare la possibilità per il responsabile del trattamento di ricorrere ad un altro responsabile individuando misure organizzative volte a garantire al titolare del trattamento, in osservanza al principio di accountability, idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità;
• stabilire una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, evitando, in particolare, sproporzionati esoneri di responsabilità.

Il titolare del trattamento è tenuto ad attuare le seguenti azioni anche nei confronti di qualsiasi fornitore di servizi informatici, come, ad esempio, i fornitori di servizi di hosting o cloud computing, rispetto ai quali l’amministrazione agisce in qualità di titolare.

L’utilizzo dei sistemi di autenticazione e di elementi di terze parti nelle linee guida AgID

L’ultimo punto delle linee guida AgID preso in esame dal Garante riguarda l’utilizzo dei sistemi di autenticazione, nello specifico viene sottolineato che “si deve garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti dal CAD” vale a dire che, nel progettare i servizi web, occorre garantire il rispetto del principio di minimizzazione di dati, ed assicurare che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Infine, bisognerà esplicitare che l’utilizzo di eventuali elementi di terze parti incorporati sui propri siti web (ad esempio, font tipografici, video player, social plug-in, ecc.) possono comportare la comunicazione di dati personali a terzi e, in alcuni casi, anche il trasferimento dei dati personali in Paesi terzi.