Con nota del 5 luglio 2021, l’Agenzia per l’Italia Digitale (AgID), ha sottoposto lo schema di “Linee guida di design per i siti internet e i servizi digitali della PA” al Garante per la Protezione dei Dati personali, il quale si è espresso sul detto schema con Parere del 24 febbraio 2022.
Le suddette Linee guida contengono regole che definiscono le modalità per la realizzazione e la modifica dei siti delle amministrazioni e rispondono alla necessità di definire e orientare la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle P.A.
A questo fine le Linee guida prevedono le azioni che le P.A. devono compiere per rendere accessibili i siti web e i servizi digitali delle P.A. a tutti gli utenti e assicurarne la sicurezza conformemente al Regolamento e al codice.
In particolare è richiesto che le P.A. garantiscano la protezione dei dati personali, nello sviluppo di un sito web o di un servizio digitale fin dalla progettazione;
- rispettino almeno il livello base di sicurezza stabilito dalle “Misure minime di sicurezza ICT per le pubbliche amministrazioni”;
- attuino misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio;
- pubblichino sul singolo sito l’informativa sul trattamento dei dati personali e chiedano ove necessario il consenso anche con riferimento all’uso dei cookie;
- inseriscano i trattamenti di dati personali nel Registro dei trattamenti e nominino come Responsabili del trattamento gli eventuali fornitori dei servizi web che trattano dati personali per conto del soggetto titolare del trattamento.
Il Garante ha evidenziato che lo schema individuato nelle Linee guida rappresenta un’opportunità per offrire ai titolari del trattamento e ai soggetti a vario titolo coinvolti indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, conformemente al principio di privacy by design e by default di cui all’art.25 GDPR.
Pertanto il Garante ha espresso parere positivo sulla Linee guida, chiedendo, però che lo schema venga integrato con indicazioni relative
- alla sicurezza del trattamento in relazione alla quale occorre valutare in particolare i rischi che possano derivare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trattati;
- alla trasparenza nei confronti degli interessati, nell’ambito della quale occorre assicurare, ad es. che le informazioni sul trattamento dei dati personali fornite agli utenti siano concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso di informazioni destinate ai minori;
- all’utilizzo di cookie o di altri strumenti di tracciamento, il quale richiede un’attenta valutazione della necessità del ricorso agli stessi rispetto alle finalità perseguite dalla P.A. con particolare riguardo anche alla base giuridica degli eventuali successivi trattamenti;
- ai rapporti con i fornitori dei servizi, i quali devono fornire garanzie sufficienti ad attuare misure tecniche e organizzative adeguate di modo che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;
- all’utilizzo dei sistemi di autenticazione e di elementi di terze parti, a proposito del quale occorre assicurare la minimizzazione dei dati, ossia che vengano acquisiti e trattati solo quei dati personali degli utenti che siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, rendendo nota l’eventuale comunicazione di dati personali a terzi o l’eventuale trasferimento dei dati personali in Paesi terzi.
La puntuale attenzione posta dal Garante alle specifiche indicazioni di Agid mostra una sensibilizzazione alta alle problematiche del web, tale da prevedere questo specifico controllo nel piano delle attività ispettive di iniziativa curate dall’ufficio del Garante per il semestre gennaio/giugno 2022 in riferimento alla compliance del sito web (art. 1 lett. a)
cfr. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9737049)
