Siti web istituzionali e linee guida Agid: i chiarimenti del Garante della Privacy

Il Garante per la protezione dei dati personali focalizza quali sono i punti di attenzione da tenere presenti nello sviluppo dei siti web delle PA, traendo spunto dallo Schema di (nuove) Linee guida AgID di design per i siti internet e i servizi digitali delle PA.
Il Garante illustra ogni necessitร da prendere in considerazione: i principi di privacy by design e by default, la ripartizione dei ruoli sino al trasferimento dei dati allโestero, in relazione allo sviluppo e manutenzione di siti web e app.
Lo Schema di Linee guida, che tiene conto degli esiti della consultazione pubblica effettuata da AgID, annulla e sostituisce le precedenti โLinee guida per i siti web delle PAโ (art. 4 della Direttiva del Ministro per la pubblica amministrazione e lโinnovazione del 26 novembre 2009, n. 8).
I destinatari del documento di AgID sono le pubbliche amministrazioni, comprese le autoritร di sistema portuale, le autoritร amministrative indipendenti di garanzia, vigilanza e regolazione, i gestori di pubblici servizi (comprese le societร quotate) e le societร in controllo pubblico (escluse quelle quotate).
Il Garante afferma che occorre valutare caso per caso i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dallโaccesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.
In tema di trasparenza, raccomanda di integrare lo Schema di Linee guida di design per i siti internet e i servizi digitali delle PA, specificando che:ย
โ le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonchรฉ formulate con un linguaggio semplice e chiaro, specialmente nel caso dโinformazioni destinate ai minori;
โ su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto allโinformativa sul trattamento dei dati personali;
โ al momento della raccolta dei dati personali in ambiente online, deve essere fornito il link allโinformativa sul trattamento dei dati personali;
โ nel caso in cui i siti web o i servizi digitali siano specificatamente indirizzati a soggetti con disabilitร , รจ necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dellโinformativa sul trattamento dei dati personali;
โ qualora lโerogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), lโinformativa sul trattamento dei dati personali deve riguardare specificamente lโapp e non meramente lโinformativa generica della pubblica amministrazione che รจ proprietaria dellโapp o che la mette a disposizione pubblicamente.
โ pubblicare i dati di contatto del DPO o RPD (Data Protection Officer o Responsabile della protezione dei dati) in considerazione dellโobbligo di designare tale figura per le autoritร pubbliche o gli organismi pubblici e di pubblicarne i relativi dati di contatto.
Il Garante raccomanda inoltre unโattenta valutazione circa la necessitร del ricorso allโutilizzo di cookie o altri strumenti di tracciamento nellโambito di un sito web o un servizio digitale rispetto alle finalitร perseguite dalla pubblica amministrazione.ย
Richiama lโattenzione sul rispetto del principio di minimizzazione di dati in fase di progettazione dei servizi on line, in modo da assicurare che, nellโambito delle procedure di autenticazione informatica in cui devono essere rispettati i principi del CAD, siano acquisiti e successivamente trattati solo dati personali degli utenti โ attributi dellโidentitร digitale โ adeguati, pertinenti e limitati a quanto necessario rispetto alle finalitร per le quali sono trattati.
Le linee guida devono contemplare lโipotesi che i siti web istituzionali incorporino elementi di terze parti (ad esempio, font tipografici, video player, social plug-in, ecc.): lโutilizzo di tali elementi puรฒ comportare la comunicazione di dati personali a terzi, nonchรฉ, in taluni casi, anche il trasferimento dei dati personali in Paesi terzi. A seconda del caso, dunque, occorrerร valutare la sussistenza di unโidonea base giuridica.ย