Un lungo parere del Garante privacy approva con riserva il documento di AgID che diverrà il riferimento principale per la realizzazione dei siti web della PA. AgID infatti ha redatto le “Linee guida di design per i siti internet e i servizi digitali della PA” definendo e orientando la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni.
I temi più significativi affrontati sono l’accessibilità, l’affidabilità e la sicurezza, tutti argomenti con significative ricadute in tema di protezione dei dati. L’Autorità per la protezione dei dati personali ha enfatizzato la positiva e lo spirito del documento, definendolo un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati P.A. nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default (art. 25 del GDPR). Il Garante altresì non ha potuto esimersi dal richiamare AgID ad integrare il documento, affinché questi non fosse un corpo estraneo alla normativa sulla protezione dei dati nazionale ed europea.
Sovranità digitale: l’importanza di mantenere il controllo sui dati
Indice degli argomenti
La sicurezza del trattamento e la privacy by design
In materia di sicurezza le critiche del Garante, se pur velate, sembrano voler essere un j’accuse di provincialismo e anacronismo all’AgID. Il Garante innanzitutto chiede che la Linea guida rimandi espressamente alle indicazioni fornite dal Comitato europeo per la protezione dei dati che con le “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate il 20 ottobre 2020, ha marcato il punto di partenza per qualsivoglia ragionamento in tema di privacy by design. Documento che quindi non può essere ignorato e che deve essere preso in considerazione anche dalle P.A. italiane.
Il Garante inoltre ritiene non sufficiente il riferimento alla necessità di rispettare almeno il livello di sicurezza, che definirei basico, stabilito dalle Misure minime di sicurezza ICT per le pubbliche amministrazioni. Le Misure minime sembra voler dire il Garante non sono bastevoli. Innanzitutto perché il livello minimo “non è di per sé sufficiente ad assicurare l’adozione di misure di sicurezza del trattamento adeguate, in conformità al Regolamento, a norma del quale, occorre invece valutare, in concreto, i rischi”.
Il Garante dunque richiede che il testo venga modificato “chiarendo che l’adozione delle predette misure minime non è di per sé idonea a soddisfare in tutti casi i requisiti previsti dagli artt. 5, par. 1, lett. f), e 32 del Regolamento, e che dunque una valutazione in tal senso deve essere effettuata, in maniera puntuale, dai titolari del trattamento”. Il Garante prosegue sottolineando che, qualora l’analisi dei rischi evidenzi un rischio elevato, sia necessario procedere a DPIA come previsto dall’art. 35 GDPR. Infine, il Garante sembra insinuare e voler rafforzare il concetto di non adeguatezza della circolare 2/2017 sulle Misure minime, sottolineando che e precedente alla data di efficacia del Regolamento, quasi a sottolinearne che si potrebbe aggiornare la stessa per renderla pienamente aderente allo spirito normativo del Regolamento.
La trasparenza nei confronti degli interessati
Anche in tema di trasparenza il Garante ha sottolineato l’esistenza di chiarimenti a livello europeo, che non possano essere ignorati, citando nello specifico i numerosi interventi del Working Party 29 in materia. Premetto, ma questa è una mia riflessione, che forse la trasparenza intesa dal D.Lgs 33/2013, a cui quindi guarda AgID con questa linea guida, non è perfettamente coincidente con la trasparenza cui si riferisce il GDPR e quindi il Garante. La disclosure amministrativa cui si fa riferimento solitamente nella pubblica amministrazione è una trasparenza sui comportamenti, affinchè il cittadino possa vigilare sulla bontà dell’agire amministrativo. La trasparenza del GDPR è una trasparenza tesa a rendere pienamente intellegibile all’interessato, non tanto l’agire amministrativo, ma piuttosto la natura e le modalità dei trattamenti che lo riguardano.
A mio avviso due trasparenze diverse con obiettivi differenti, che possono e debbono coesistere in pieno rispetto l’una dell’altra. Il Garante nel parere ribadisce che “occorre specificare” che:
- le informazioni pubblicate sui siti web della P.A. debbono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro;
- su ogni pagina del sito dovrebbe essere chiaramente visibile il link alla pagina privacy;
- qualora i siti web o i servizi digitali siano specificamente indirizzati a minori o a soggetti con disabilità, contenuti e informazioni dovrebbero essere ripensati per quello specifico target di utenti.
Altri suggerimenti dati dal Garante, che come quelli fin qui visti, sono la correzione di errori comuni visti e rivisti nei siti delle P.A. italiane sono:
- nel caso di app mobile, la pagina privacy deve essere sempre distante massimo due click, preferibilmente indicizzando la stessa nel menù di navigazione;
- l’Informativa privacy deve riguardare specificamente l’app e non meramente l’informativa generica e omnicomprensiva di tutte le attività di trattamento della pubblica amministrazione.
Infine, il Garante chiede ad AgID attraverso queste line guida di ricordare alle P.A. che i contatti del DPO “quantomeno un indirizzo di posta elettronica” debbono essere sempre pubblicati. Specifica inoltre che la figura del DPO deve comparire all’interno dell’Organigramma dell’ente.
L’utilizzo di cookie o di altri strumenti di tracciamento
Il Garante sul tema dei cookie ribadisce forse l’ovvio, ma che forse per le Pubbliche Amministrazioni non è ancora così chiaro ed evidente. Chiede dunque ad AgID: “occorre evidenziare, nelle linee guida in esame, che l’utilizzo dei cookie o altri strumenti di tracciamento nell’ambito di un sito web richiede un attenta valutazione in ordine alla necessità del ricorso agli stessi”, verificando:
- conformità alle finalità perseguite dalla P.A.;
- loro liceità;
- i trattamenti consequenziali e successivi al tracciamento mediante i cookies;
- l’eventuale trasferimento verso paesi extra UE.
Il Garante quindi richiama l’attenzione alla propria Line guida in materia di Cookie del giugno scorso e ribadisce l’importanza di attivare le necessarie forme di comunicazione mediante banner e informativa dedicata, e lo fa in maniera piuttosto perentoria: “… devono avvenire nel rigoroso rispetto del principio di correttezza… assicurando, in ogni caso, la piena fruibilità del sito web o del servizio digitale anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate”.
Infine, e se non è una bocciatura è quantomeno un richiamo all’ordine, il Garante avvisa AgID che l’invito ad “aderire alla piattaforma Web Analytics Italia (WAI), soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle P.A. italiane”, è critico per diversi elementi:
- il Garante non è stato ancora chiamato ad esprimersi sulla bontà della soluzione;
- l’utente ne deve essere debitamente informato;
- richiama “l’attenzione sulla necessità di definire e disciplinare i ruoli e le responsabilità del fornitore” di tale soluzione.
Rapporti con i fornitori di servizi
Relativamente ai fornitori il Garante invita AgID nella propria linea guida a ribadire almeno gli elementi basici prescritti dal GDPR in materia di responsabile “esterno”, quali la selezione di fornitori, non solo per lo sviluppo sito web ma anche per tutti i servizi informatici, che presentino garanzie sufficienti; che vi sia l’accordo di nomina ex Art. 28 del GDPR; che si disciplini la catena di subfornitura, elemento spesso trascurato; che si individui una corretta ripartizione delle responsabilità.
Utilizzo dei sistemi di autenticazione e di elementi di terze parti
Il Garante sottolinea che: “Lo schema di linee guida in esame… deve evidenziare che, nel progettare i servizi digitali, occorre garantire il rispetto del principio di minimizzazione dei dati assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), del Regolamento e art. 27 del Regolamento recante le modalità attuative per la realizzazione dello SPID)”.
Conclusioni
Il Garante dunque esprime parere favorevole sullo schema “Linee guida di design per i siti internet e i servizi digitali della PA”, purchè sia integrato con le proprie indicazioni, descritte nel corpo dell’articolo. Secondo la mia valutazione personale, le criticità espresse dal Garante, ovviamente con il dovuto distacco e rispetto istituzionale, sembrano essere, e lo si evince fra le righe del parere, una critica più profonda e trasversale rispetto alle singole osservazioni sollevate.
C’era davvero bisogno di un parere del Garante per sapere che le Linee guida per la realizzazione di siti web per la P.A. dovessero riportare l’informativa cookie? O che l’informativa non debba essere quella generale e omnicomprensiva dell’ente ma piuttosto una specifica per gli utenti naviganti sul sito? Serviva Stazione e il suo team per ricordare ad AgID di inserire nelle proprie linee guida un richiamo alla Linea guida sui cookie del Garante? Che i fornitori di soluzioni IT debbano essere nominati ex articolo 28 del GDPR e che tutti gli elementi di tale disposto debbano essere applicati comprese le indicazioni sulla filiera di subfornitura?
Al sottoscritto, leggendo le osservazioni descritte nel parere del Garante, è emerso il dubbio che forse in AgID dovrebbero acquisire gli elementi essenziali del Regolamento UE 679/2016 più profondamente e più consapevolmente. Anche in passato AgID, in quell’occasione in materia di conservazione documentale, si era dimostrata poco ferrata sul GDPR e anche in quel caso le osservazioni del Garante erano state nutrite e corpose.