Linee guida siti internet delle PA, il Garante privacy ha fornito all’AgID le indicazioni

Il Garante privacy ha fornito all’AgID le indicazioni per integrare le sue linee guida relative al design dei siti internet delle pubbliche amministrazioni.

L’Agenzia per l’Italia Digitale (AgID) ha chiesto al Garante per la protezione dei dati personali un parere sulla conformità alla normativa in materia di privacy dello schema di Linee guida di design per i siti internet e i servizi digitali della PA.

In particolare, l’ AgID  ha predisposto detto schema di linee guida per disciplinare le modalità attraverso cui le pubbliche amministrazioni devono realizzare e modificare i propri siti internet, affinchè sia possibile:

  1. garantire l’accessibilità a tutti gli utenti dei siti web e dei servizi digitali forniti dalle pubbliche amministrazioni;
  2. assicurare la sicurezza di detti siti web e servizi digitali, garantendo la protezione dei dati personali nello sviluppo del sito web o del servizio digitale, rispettando il livello base di sicurezza stabilito dalle misure minime di sicurezza ICT, ponendo in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, pubblicando su ogni sito internet l’informativa sul trattamento dei dati personali e inserendo i trattamenti dei dati nel registro dei trattamenti;
  3. analizzare e migliorare l’esperienza d’uso dei siti web e dei servizi digitali da parte degli utenti, attraverso la rilevazione qualitativa e quantitativa dei dati di fruizione mediante l’adesione alla piattaforma “web analytics Italia” (che raccoglie, analizza e condivide i dati di traffico e di comportamento degli utenti, dedicata ai siti web delle pubbliche amministrazioni).

Conseguentemente, l’ AgID ha sottoposto alla valutazione del Garante privacy detto schema di Linee guida. ù

>>>Leggi il Parere del Garante per la protezione dei dati personali sulle Linee guida di design per i siti internet e i servizi digitali della PA, predisposto dall’AgID – n. 76 del 24-02-2022

Le integrazioni proposte dal Garante

A seguito dell’analisi dello schema di Linee guida, il Garante ha ritenuto che lo stesso debba essere integrato su vari fronti, indicando le tipologie di integrazioni necessarie.

Per quanto concerne la sicurezza del trattamento, il Garante ritiene che non si possa fare un semplice riferimento alle misure di sicurezza ICT minime previste per le pubbliche amministrazioni, ma che sia necessario valutare, in concreto, quali siano i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali degli interessati e quindi individuare conseguentemente le misure di sicurezza da adottare.

Pertanto, è necessario che nelle linee guida sia chiarito che l’adozione delle misure minime di sicurezza ICT per le pubbliche amministrazioni non è idonea di per sé a garantire il rispetto della normativa privacy e che quindi dovrà essere fatta una valutazione specifica da parte dei titolari del trattamento.

IN secondo luogo, il Garante ritiene necessario che sia precisato che il titolare del trattamento, qualora ci sia un rischio elevato per i diritti e le libertà degli interessati, compia una valutazione di impatto ai sensi dell’art. 35 del GDPR prima di procedere con il trattamento.   

Per quanto concerne la trasparenza nei confronti degli interessati, il Garante ritiene che sia necessario che le linee guida specifichino che:

  1. le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
  2. su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali, che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”);
  3. al momento della raccolta dei dati personali in ambiente online, deve, inoltre, essere fornito il link all’informativa sul trattamento dei dati personali o, in alternativa, le informazioni sul trattamento dei dati devono essere messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali;
  4. allorquando i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, è necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dell’informativa sul trattamento dei dati personali;
  5. nei casi in cui i siti web o i servizi digitali siano specificamente indirizzati, invece, ai minori, l’informativa da rendere agli interessati deve essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti.

Infine, il Garante ritiene che le linee guida debbano evidenziare la sussistenza dell’obbligo a carico delle pubbliche amministrazioni di pubblicare i dati di contatto del responsabile della protezione dati, all’interno del sito web dell’amministrazione in una sezione facilmente riconoscibile dall’utente e accessibile già dalla home page.

Per quanto concerne l’uso di cookie e altri strumenti di tracciamento, il Garante ritiene che nelle linee guida debba essere evidenziato che l’uso di cookie e altri strumenti di tracciamento nell’ambito del sito web sia attentamente valutato dalla pubblica amministrazione titolare del sito, anche in ordine alla base giuridica che legittima eventuali trattamenti successivi compiuti con riferimento ai dati raccolti mediante i cookie. Inoltre, qualora la pubblica amministrazione interessata decida di usare i cookie sul proprio sito, deve informare gli utenti in merito all’impiego degli stessi e richiamare le linee guida in materia di cookie emanate dal Garante privacy, garantendo comunque che l’utente possa usufruire del sito web anche se non presta il consenso all’uso dei cookie

Per quanto riguarda i rapporti con i fornitori dei servizi, il Garante ritiene necessario che sia previsto nelle linee guida che la pubblica amministrazione interessata nomini responsabili del trattamento gli eventuali fornitori dei servizi web che trattano dati personali e che raggiunga con questi ultimi un accordo sulla protezione dei dati (nel quale sono individuati l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali trattati e le categorie di interessati nonché gli obblighi e i diritti del titolare del trattamento e sono documentate le istruzioni fornite al responsabile del trattamento).

Infine, per quanto riguarda l’uso di sistema di autenticazioni e di elementi di terze parti, il Garante ritiene necessario che nelle linee guida sia evidenziato che l’uso di eventuali elementi di terze parti incorporati sui siti web della pubblica amministrazione, può comportare la comunicazione di dati personali a soggetti terzi nonché il loro trasferimento in paesi terzi e pertanto è necessario che la pubblica amministrazione interessata compia, caso per caso, le valutazioni sull’esistenza di una idonea base giuridica del trattamento nonché di adeguate garanzie a tutela di detti dati.    


Potrebbero interessarti anche: 


Il parere del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che le linee guida oggetto di esame debbano essere integrate con le indicazioni di cui sopra per poter essere ritenute conformi alla normativa in materia di protezione dei dati personali.

Volume consigliato:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento