Linee guida siti internet delle PA, il Garante privacy ha fornito all’AgID le indicazioni

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio
PDF

Il Garante privacy ha fornito all’AgID le indicazioni per integrare le sue linee guida relative al design dei siti internet delle pubbliche amministrazioni.

L’Agenzia per l’Italia Digitale (AgID) ha chiesto al Garante per la protezione dei dati personali un parere sulla conformità alla normativa in materia di privacy dello schema di Linee guida di design per i siti internet e i servizi digitali della PA.

In particolare, l’ AgID  ha predisposto detto schema di linee guida per disciplinare le modalità attraverso cui le pubbliche amministrazioni devono realizzare e modificare i propri siti internet, affinchè sia possibile:

  1. garantire l’accessibilità a tutti gli utenti dei siti web e dei servizi digitali forniti dalle pubbliche amministrazioni;
  2. assicurare la sicurezza di detti siti web e servizi digitali, garantendo la protezione dei dati personali nello sviluppo del sito web o del servizio digitale, rispettando il livello base di sicurezza stabilito dalle misure minime di sicurezza ICT, ponendo in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, pubblicando su ogni sito internet l’informativa sul trattamento dei dati personali e inserendo i trattamenti dei dati nel registro dei trattamenti;
  3. analizzare e migliorare l’esperienza d’uso dei siti web e dei servizi digitali da parte degli utenti, attraverso la rilevazione qualitativa e quantitativa dei dati di fruizione mediante l’adesione alla piattaforma “web analytics Italia” (che raccoglie, analizza e condivide i dati di traffico e di comportamento degli utenti, dedicata ai siti web delle pubbliche amministrazioni).

Conseguentemente, l’ AgID ha sottoposto alla valutazione del Garante privacy detto schema di Linee guida. ù

>>>Leggi il Parere del Garante per la protezione dei dati personali sulle Linee guida di design per i siti internet e i servizi digitali della PA, predisposto dall’AgID – n. 76 del 24-02-2022

Le integrazioni proposte dal Garante

A seguito dell’analisi dello schema di Linee guida, il Garante ha ritenuto che lo stesso debba essere integrato su vari fronti, indicando le tipologie di integrazioni necessarie.

Per quanto concerne la sicurezza del trattamento, il Garante ritiene che non si possa fare un semplice riferimento alle misure di sicurezza ICT minime previste per le pubbliche amministrazioni, ma che sia necessario valutare, in concreto, quali siano i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali degli interessati e quindi individuare conseguentemente le misure di sicurezza da adottare.

Pertanto, è necessario che nelle linee guida sia chiarito che l’adozione delle misure minime di sicurezza ICT per le pubbliche amministrazioni non è idonea di per sé a garantire il rispetto della normativa privacy e che quindi dovrà essere fatta una valutazione specifica da parte dei titolari del trattamento.

IN secondo luogo, il Garante ritiene necessario che sia precisato che il titolare del trattamento, qualora ci sia un rischio elevato per i diritti e le libertà degli interessati, compia una valutazione di impatto ai sensi dell’art. 35 del GDPR prima di procedere con il trattamento.   

Per quanto concerne la trasparenza nei confronti degli interessati, il Garante ritiene che sia necessario che le linee guida specifichino che:

  1. le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
  2. su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali, che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”);
  3. al momento della raccolta dei dati personali in ambiente online, deve, inoltre, essere fornito il link all’informativa sul trattamento dei dati personali o, in alternativa, le informazioni sul trattamento dei dati devono essere messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali;
  4. allorquando i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, è necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dell’informativa sul trattamento dei dati personali;
  5. nei casi in cui i siti web o i servizi digitali siano specificamente indirizzati, invece, ai minori, l’informativa da rendere agli interessati deve essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti.

Infine, il Garante ritiene che le linee guida debbano evidenziare la sussistenza dell’obbligo a carico delle pubbliche amministrazioni di pubblicare i dati di contatto del responsabile della protezione dati, all’interno del sito web dell’amministrazione in una sezione facilmente riconoscibile dall’utente e accessibile già dalla home page.

Per quanto concerne l’uso di cookie e altri strumenti di tracciamento, il Garante ritiene che nelle linee guida debba essere evidenziato che l’uso di cookie e altri strumenti di tracciamento nell’ambito del sito web sia attentamente valutato dalla pubblica amministrazione titolare del sito, anche in ordine alla base giuridica che legittima eventuali trattamenti successivi compiuti con riferimento ai dati raccolti mediante i cookie. Inoltre, qualora la pubblica amministrazione interessata decida di usare i cookie sul proprio sito, deve informare gli utenti in merito all’impiego degli stessi e richiamare le linee guida in materia di cookie emanate dal Garante privacy, garantendo comunque che l’utente possa usufruire del sito web anche se non presta il consenso all’uso dei cookie

Per quanto riguarda i rapporti con i fornitori dei servizi, il Garante ritiene necessario che sia previsto nelle linee guida che la pubblica amministrazione interessata nomini responsabili del trattamento gli eventuali fornitori dei servizi web che trattano dati personali e che raggiunga con questi ultimi un accordo sulla protezione dei dati (nel quale sono individuati l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali trattati e le categorie di interessati nonché gli obblighi e i diritti del titolare del trattamento e sono documentate le istruzioni fornite al responsabile del trattamento).

Infine, per quanto riguarda l’uso di sistema di autenticazioni e di elementi di terze parti, il Garante ritiene necessario che nelle linee guida sia evidenziato che l’uso di eventuali elementi di terze parti incorporati sui siti web della pubblica amministrazione, può comportare la comunicazione di dati personali a soggetti terzi nonché il loro trasferimento in paesi terzi e pertanto è necessario che la pubblica amministrazione interessata compia, caso per caso, le valutazioni sull’esistenza di una idonea base giuridica del trattamento nonché di adeguate garanzie a tutela di detti dati.    


Potrebbero interessarti anche: 


Il parere del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che le linee guida oggetto di esame debbano essere integrate con le indicazioni di cui sopra per poter essere ritenute conformi alla normativa in materia di protezione dei dati personali.

Volume consigliato:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e