Siti web istituzionali e linee guida Agid: i chiarimenti del Garante della Privacy
Il Garante per la protezione dei dati personali focalizza quali sono i punti di attenzione da tenere presenti nello sviluppo dei siti web delle PA, traendo spunto dallo Schema di (nuove) Linee guida AgID di design per i siti internet e i servizi digitali delle PA.
Il Garante illustra ogni necessità da prendere in considerazione: i principi di privacy by design e by default, la ripartizione dei ruoli sino al trasferimento dei dati all’estero, in relazione allo sviluppo e manutenzione di siti web e app.
Lo Schema di Linee guida, che tiene conto degli esiti della consultazione pubblica effettuata da AgID, annulla e sostituisce le precedenti “Linee guida per i siti web delle PA” (art. 4 della Direttiva del Ministro per la pubblica amministrazione e l’innovazione del 26 novembre 2009, n. 8).
I destinatari del documento di AgID sono le pubbliche amministrazioni, comprese le autorità di sistema portuale, le autorità amministrative indipendenti di garanzia, vigilanza e regolazione, i gestori di pubblici servizi (comprese le società quotate) e le società in controllo pubblico (escluse quelle quotate).
Il Garante afferma che occorre valutare caso per caso i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.
In tema di trasparenza, raccomanda di integrare lo Schema di Linee guida di design per i siti internet e i servizi digitali delle PA, specificando che:
– le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
– su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali;
– al momento della raccolta dei dati personali in ambiente online, deve essere fornito il link all’informativa sul trattamento dei dati personali;
– nel caso in cui i siti web o i servizi digitali siano specificatamente indirizzati a soggetti con disabilità, è necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dell’informativa sul trattamento dei dati personali;
– qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), l’informativa sul trattamento dei dati personali deve riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente.
– pubblicare i dati di contatto del DPO o RPD (Data Protection Officer o Responsabile della protezione dei dati) in considerazione dell’obbligo di designare tale figura per le autorità pubbliche o gli organismi pubblici e di pubblicarne i relativi dati di contatto.
Il Garante raccomanda inoltre un’attenta valutazione circa la necessità del ricorso all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla pubblica amministrazione.
Richiama l’attenzione sul rispetto del principio di minimizzazione di dati in fase di progettazione dei servizi on line, in modo da assicurare che, nell’ambito delle procedure di autenticazione informatica in cui devono essere rispettati i principi del CAD, siano acquisiti e successivamente trattati solo dati personali degli utenti – attributi dell’identità digitale – adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Le linee guida devono contemplare l’ipotesi che i siti web istituzionali incorporino elementi di terze parti (ad esempio, font tipografici, video player, social plug-in, ecc.): l’utilizzo di tali elementi può comportare la comunicazione di dati personali a terzi, nonché, in taluni casi, anche il trasferimento dei dati personali in Paesi terzi. A seconda del caso, dunque, occorrerà valutare la sussistenza di un’idonea base giuridica.
