Dall'AgID le nuove Linee Guida di design per i siti internet e i servizi web della Pubblica Amministrazione
L’AgID - Agenzia per l'Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana, favorendo l'innovazione e la crescita economica. Nella sua azione, fra l’altro, elabora indirizzi, regole tecniche e linee guida in materia di omogeneità dei linguaggi, delle procedure e degli standard per la piena interoperabilità e uniformità dei sistemi informatici della pubblica amministrazione.
Il 27 luglio l’AgID ha pubblicato sul proprio portale le nuove Linee guida di design per i siti internet e i servizi web della Pubblica Amministrazione, adottate con determina n. 224/2022, che, ai sensi degli artt 53 comma 1-ter e 71 del CAD (Codice dell’Amministrazione digitale), definiscono un insieme di regole per la progettazione dei siti e dei servizi alla cittadinanza; esse si rivolgono alle Pubbliche Amministrazioni, come individuate dall’art. 2 comma 2 lett. a del CAD; l’AgID evidenzia come le linee guida costituiscano come uno strumento funzionale alla realizzazione dei progetti di miglioramento dei servizi pubblici previsti dal PNRR.
Le nuove linee guida innovano le precedenti alla luce del nuovo contesto tecnologico e normativo e, sono accompagnate strumenti, kit e modelli (cfr sito di Designers Italia) e da un il Manuale operativo di design, guida di lavoro dedicata alla PA e i suoi fornitori, volto a fornire indicazioni operative a supporto della progettazione e della realizzazione dei punti di contatto digitali verso il cittadino. Le indicazioni delle LG sono distinte in una triplice categorizzazione: i) obbligatorie, ii) opzionali e iii) quelle per cui si rende necessaria un’attenta valutazione.
Nell’iter che ha portato all’adozione si inserisce il parere reso dall’Autorità Garante per la protezione dei dati personali lo scorso 24 febbraio (doc. web 9753209) che formula articolate osservazioni fondate anche su Linee Guida dell’European Data Protection Board / Gruppo dei 29 e su propri Provvedimenti. Ed è a tale parere che qui viene rivolta attenzione, in considerazione del recepimento delle indicazioni del Garante sulle linee guida e della valenza in gran parte generale che connota tale parere: a ben vedere rispettando tali indicazioni la robustezza a fini privacy dei siti web verrebbe meglio assicurata anche per quanto attiene ai siti web privati.
Aspetti specifici dell’esame del Garante - Il Garante ha evidenziato che lo schema di linee guida sottoposto al proprio esame costituisce una opportunità per offrire ai titolari del trattamento e gli altri soggetti coinvolti indicazioni per un assetto privacy conferme al principio by design e by default e formulato specifiche osservazioni per una integrazione delle linee guida attinenti a diversi aspetti, di cui qui si richiamano quelli più salienti. Non appare improprio ritenere che il Garante potrebbe essere considerato come coautore delle linee guida e, comunque che le stesse e il parere dell’Autorità andrebbero vagliati congiuntamente dagli addetti ai lavori.
I riferimenti sotto riportati sono state ridefinite rispetto alla prima versione, assimilando le indicazioni del Garante, riprese in particolare nel paragrafo 4.2 delle nuove linee guida.
1.Sicurezza del trattamento e misure minime di sicurezza - Il Garante ritiene che le indicazioni del paragrafo 5.2 delle LG i) di “garantire la protezione dei dati personali (…) fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR” e ii) di dover rispettare almeno il livello base definito dalle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” (peraltro emanate dall’AgID prima della data di entrata in vigore del GDPR) non siano sufficienti a garantire l’adozione di misure di sicurezza adeguate ai rischi da parte del titolare e che vada quindi evidenziato che occorre comunque una valutazione puntuale di rischi stessi. Inoltre, il Garante chiede di integrare lo schema con riguardo all’esigenza, nei casi previsti dall’art. 35 GDPR, della Valutazione d’impatto;
2.Trasparenza - Per quanto concerne attiene alla necessità di assicurare la trasparenza dei trattamenti effettuati nei confronti degli interessati, il Garante osserva che nelle LG occorre che le informazioni sul trattamento dei dati personali fornite agli utenti siano comprensibili, agevolmente raggiungibili e che si debba tener conto della specificità degli utenti disabili o minori. Inoltre, nel caso di servizi resi mediante app, il Garante evidenzia che le informazioni necessarie devono essere messe a disposizione presso gli store delle app prima del download e che una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno e riguardare specificamente l’app. Il Garante rammenta poi che sul sito devono essere pubblicati i dati del RPD;
3.Utilizzo di cookie o di altri strumenti di tracciamento. Su tale materia, come sappiamo di grande attualità, il Garante evidenzia come sia necessaria un’attenta valutazione sulle modalità di ricorso agli stessi rispetto alle finalità perseguite dalla pubblica amministrazione e che tale valutazione deve riguardare anche la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere sui dati personali raccolti dai dispositivi alla luce dell’art. 122 del Codice, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di privacy dati verso Paesi terzi. Tale utilizzo richiede che ne sia data contezza agli interessati e, ove sia richiesto il consenso, ciò deve avvenire in maniera corretta e comunque laddove il consenso non venga reso comunque non deve essere inibita la fruibilità del sito e dei servizi. Il Garante si sofferma poi sull’indicazione delle LG che “si dovrebbe adottare la piattaforma Web Analytics Italia (WAI)”, sviluppata da AgID (e già utilizzata da diversi soggetti pubblici), per evidenziare come la stessa non sia stata sottoposta alla sua attenzione e che a) si riserva di “effettuare gli opportuni approfondimenti al riguardo” e b) il suo utilizzo comporta la “necessità di definire e disciplinare i ruoli e le responsabilità del fornitore di tale piattaforma” a fini privacy;
4.Outsourcing di servizi - Il Garante richiama l’esigenza che le LG specifichino adeguatamente le caratteristiche e le modalità di ricorso a Responsabili del trattamento, non solo con riguardo ai servizi web ma anche ai fornitori di servizi IT come quelli di hosting e cloud computing, avendo anche presenti le disposizioni previste nel caso di loro ubicazione in Paesi terzi;
5.Utilizzo dei sistemi di autenticazione e di elementi di terze parti - Il Garante è dell’avviso che le LG debbano evidenziare che, nel progettare servizi IT, venga garantito il principio di minimizzazione dei dati personali da acquisire e trattare e che l’eventuale utilizzo di elementi di terze parti (es. social plug-in) potrebbe comportare la comunicazione degli stessi anche in Paesi terzi, circostanza che richiede la valutazione, caso per caso, di appropriate base giuridica e garanzie.
Poste queste indicazioni, senz’altro il parere del Garante ha contribuito al perseguimento degli obiettivi dichiarati dall’AgID per le “Orientare la progettazione e la realizzazione dei siti internet e dei servizi digitali erogati dalle amministrazioni, con una particolare attenzione all’usabilità e ad un approccio progettuale orientato alle persone”.
Alla luce delle nuove linee guida si ritiene che sin d’ora che i soggetti pubblici potranno tenerne conto, anche a fine di autoanalisi, per avviare un percorso virtuoso di adattamento dei loro portali alle indicazioni del Garante. Indicazioni che, a ben vedere, sono insiti nell’architettura privacy post 25 maggio 2018, essendo il parere un articolato richiamo di disposizioni già vigenti. Analogo percorso virtuoso per i portali già esistenti e, per quelli che verranno, potrebbe essere avviato anche da parte dei soggetti privati.
