L’Agenzia per l’Italia Digitale (AGID), con la Determinazione 26 luglio 2022, n. 224, ha adottato le “Linee guida di design per i siti e i servizi digitali delle PA” (pubblicate il 27 luglio 2022).
L’art. 53 del D.Lgs. n. 82/2005 (CAD, Codice dell’Amministrazione digitale), stabilisce che le pubbliche amministrazioni debbano realizzare siti istituzionali che rispettano i principi di accessibilità, nonché di elevata usabilità e reperibilità, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità dì consultazione, qualità, omogeneità ed interoperabilità. Oltre il CAD, per la stesura delle Linee guida, l’AGID ha dovuto tenere in considerazione quanto previsto dal Reg. UE 679/2016 (GDPR), dal D.lgs. 196/2003 (Codice Privacy) e dal D.Lgs. n. 33/2013, c.d. Decreto Trasparenza.
Le Linee guida annullano e sostituiscono le precedenti “Linee guida per i siti web delle PA” previste dall’art. 4 della Direttiva del Ministro per la Pubblica Amministrazione e l’innovazione del 26 novembre 2009, n. 8. Lo scopo delle Linee guida è quello di definire e orientare la progettazione e la realizzazione dei siti internet e dei servizi digitali erogati dalle pubbliche amministrazioni al fine di rispettare i principi elencati all’art. 53 del CAD.
Le Linee guida sono suddivise in quattro parti: la prima individua lo scopo del provvedimento; la seconda si occupa di evidenziare i riferimenti normativi applicabili; la terza il contesto; la quarta è dedicata ai requisiti che devono avere le pagine istituzionali.
Tra i punti principali delineati:
· deve essere garantita la protezione dei dati personali nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita;
· deve essere rispettato almeno il livello base di sicurezza stabilito dalle “misure minime di sicurezza ict per le pubbliche amministrazioni”, ed essere poste in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio;
· prima di procedere al trattamento, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, deve essere effettuata, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, una valutazione d’impatto sulla protezione dei dati;
· deve essere pubblicata, sul singolo sito, l’informativa sul trattamento dei dati personali;
· devono essere rese agli utenti, sul trattamento dei loro dati personali, informazioni concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro;
· dovrebbe essere chiaramente visibile, su ogni pagina del sito, un link diretto all’informativa sul trattamento dei dati personali;
· deve essere possibile agli utenti con disabilità fruire effettivamente dei contenuti dell’informativa sul trattamento dei dati personali;
· devono essere pubblicati i dati di contatto del responsabile della protezione dei dati (RPD) che la PA è tenuta a designare;
· qualora si intenda delegare a fornitori di servizi informatici (ad es. fornitori di servizi web, di servizi di hosting o cloud computing) alcune attività che comportino il trattamento di dati personali, deve esser fatto ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate.
le linee guida ribadiscono che il dipartimento per la trasformazione digitale e agid rendono disponibili sulla pagina un insieme di indicazioni e strumenti operativi di ausilio alla progettazione, sviluppo e manutenzione di siti internet e servizi digitali con lo scopo di fornire un supporto evolutivo per l’attuazione delle presenti linee guida.