Siti web istituzionali e linee guida Agid: i chiarimenti del Garante della Privacy

Il Garante per la protezione dei dati personali focalizza quali sono i punti di attenzione da tenere presenti nello sviluppo dei siti web delle PA, traendo spunto dallo Schema di (nuove) Linee guida AgID di design per i siti internet e i servizi digitali delle PA.

Il Garante illustra ogni necessitร  da prendere in considerazione: i principi di privacy by design e by default, la ripartizione dei ruoli sino al trasferimento dei dati allโ€™estero, in relazione allo sviluppo e manutenzione di siti web e app.

Lo Schema di Linee guida, che tiene conto degli esiti della consultazione pubblica effettuata da AgID, annulla e sostituisce le precedenti โ€œLinee guida per i siti web delle PAโ€ (art. 4 della Direttiva del Ministro per la pubblica amministrazione e lโ€™innovazione del 26 novembre 2009, n. 8).

I destinatari del documento di AgID sono le pubbliche amministrazioni, comprese le autoritร  di sistema portuale, le autoritร  amministrative indipendenti di garanzia, vigilanza e regolazione, i gestori di pubblici servizi (comprese le societร  quotate) e le societร  in controllo pubblico (escluse quelle quotate).

Il Garante afferma che occorre valutare caso per caso i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dallโ€™accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.

In tema di trasparenza, raccomanda di integrare lo Schema di Linee guida di design per i siti internet e i servizi digitali delle PA, specificando che:ย 

โ€“ le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonchรฉ formulate con un linguaggio semplice e chiaro, specialmente nel caso dโ€™informazioni destinate ai minori;

โ€“ su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto allโ€™informativa sul trattamento dei dati personali;

โ€“ al momento della raccolta dei dati personali in ambiente online, deve essere fornito il link allโ€™informativa sul trattamento dei dati personali;

โ€“ nel caso in cui i siti web o i servizi digitali siano specificatamente indirizzati a soggetti con disabilitร , รจ necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dellโ€™informativa sul trattamento dei dati personali;

โ€“ qualora lโ€™erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), lโ€™informativa sul trattamento dei dati personali deve riguardare specificamente lโ€™app e non meramente lโ€™informativa generica della pubblica amministrazione che รจ proprietaria dellโ€™app o che la mette a disposizione pubblicamente.

โ€“ pubblicare i dati di contatto del DPO o RPD (Data Protection Officer o Responsabile della protezione dei dati) in considerazione dellโ€™obbligo di designare tale figura per le autoritร  pubbliche o gli organismi pubblici e di pubblicarne i relativi dati di contatto.

Il Garante raccomanda inoltre unโ€™attenta valutazione circa la necessitร  del ricorso allโ€™utilizzo di cookie o altri strumenti di tracciamento nellโ€™ambito di un sito web o un servizio digitale rispetto alle finalitร  perseguite dalla pubblica amministrazione.ย 

Richiama lโ€™attenzione sul rispetto del principio di minimizzazione di dati in fase di progettazione dei servizi on line, in modo da assicurare che, nellโ€™ambito delle procedure di autenticazione informatica in cui devono essere rispettati i principi del CAD, siano acquisiti e successivamente trattati solo dati personali degli utenti โ€“ attributi dellโ€™identitร  digitale โ€“ adeguati, pertinenti e limitati a quanto necessario rispetto alle finalitร  per le quali sono trattati.

Le linee guida devono contemplare lโ€™ipotesi che i siti web istituzionali incorporino elementi di terze parti (ad esempio, font tipografici, video player, social plug-in, ecc.): lโ€™utilizzo di tali elementi puรฒ comportare la comunicazione di dati personali a terzi, nonchรฉ, in taluni casi, anche il trasferimento dei dati personali in Paesi terzi. A seconda del caso, dunque, occorrerร  valutare la sussistenza di unโ€™idonea base giuridica.ย