GDPR

I nodi privacy delle Linee guida Agid per i siti della PA: perché il Garante approva con riserva

Il Garante privacy ha approvato con riserva le “Linee guida di design per i siti internet e i servizi digitali della PA” di Agid, sottolineando alcuni fronti critici in particolare in ambito accessibilità, affidabilità e sicurezza: l’autorità ha invitato a integrare il documento, affinché sia compliant alla normativa sulla data protection

18 Mar 2022
S
Manuel Angelo Salvi

DPO GRC Team

Un lungo parere del Garante privacy approva con riserva il documento di AgID che diverrà il riferimento principale per la realizzazione dei siti web della PA. AgID infatti ha redatto le “Linee guida di design per i siti internet e i servizi digitali della PA” definendo e orientando la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni.

I temi più significativi affrontati sono l’accessibilità, l’affidabilità e la sicurezza, tutti argomenti con significative ricadute in tema di protezione dei dati. L’Autorità per la protezione dei dati personali ha enfatizzato la positiva e lo spirito del documento, definendolo un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati P.A. nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default (art. 25 del GDPR). Il Garante altresì non ha potuto esimersi dal richiamare AgID ad integrare il documento, affinché questi non fosse un corpo estraneo alla normativa sulla protezione dei dati nazionale ed europea.

Sovranità digitale: l’importanza di mantenere il controllo sui dati

La sicurezza del trattamento e la privacy by design

In materia di sicurezza le critiche del Garante, se pur velate, sembrano voler essere un j’accuse di provincialismo e anacronismo all’AgID. Il Garante innanzitutto chiede che la Linea guida rimandi espressamente alle indicazioni fornite dal Comitato europeo per la protezione dei dati che con le “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate il 20 ottobre 2020, ha marcato il punto di partenza per qualsivoglia ragionamento in tema di privacy by design. Documento che quindi non può essere ignorato e che deve essere preso in considerazione anche dalle P.A. italiane.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Il Garante inoltre ritiene non sufficiente il riferimento alla necessità di rispettare almeno il livello di sicurezza, che definirei basico, stabilito dalle Misure minime di sicurezza ICT per le pubbliche amministrazioni. Le Misure minime sembra voler dire il Garante non sono bastevoli. Innanzitutto perché il livello minimo “non è di per sé sufficiente ad assicurare l’adozione di misure di sicurezza del trattamento adeguate, in conformità al Regolamento, a norma del quale, occorre invece valutare, in concreto, i rischi”.

Il Garante dunque richiede che il testo venga modificato “chiarendo che l’adozione delle predette misure minime non è di per sé idonea a soddisfare in tutti casi i requisiti previsti dagli artt. 5, par. 1, lett. f), e 32 del Regolamento, e che dunque una valutazione in tal senso deve essere effettuata, in maniera puntuale, dai titolari del trattamento”. Il Garante prosegue sottolineando che, qualora l’analisi dei rischi evidenzi un rischio elevato, sia necessario procedere a DPIA come previsto dall’art. 35 GDPR. Infine, il Garante sembra insinuare e voler rafforzare il concetto di non adeguatezza della circolare 2/2017 sulle Misure minime, sottolineando che   e precedente alla data di efficacia del Regolamento, quasi a sottolinearne che si potrebbe aggiornare la stessa per renderla pienamente aderente allo spirito normativo del Regolamento.

La trasparenza nei confronti degli interessati

Anche in tema di trasparenza il Garante ha sottolineato l’esistenza di chiarimenti a livello europeo, che non possano essere ignorati, citando nello specifico i numerosi interventi del Working Party 29 in materia. Premetto, ma questa è una mia riflessione, che forse la trasparenza intesa dal D.Lgs 33/2013, a cui quindi guarda AgID con questa linea guida, non è perfettamente coincidente con la trasparenza cui si riferisce il GDPR e quindi il Garante. La disclosure amministrativa cui si fa riferimento solitamente nella pubblica amministrazione è una trasparenza sui comportamenti, affinchè il cittadino possa vigilare sulla bontà dell’agire amministrativo. La trasparenza del GDPR è una trasparenza tesa a rendere pienamente intellegibile all’interessato, non tanto l’agire amministrativo, ma piuttosto la natura e le modalità dei trattamenti che lo riguardano.

A mio avviso due trasparenze diverse con obiettivi differenti, che possono e debbono coesistere in pieno rispetto l’una dell’altra. Il Garante nel parere ribadisce che “occorre specificare” che:

  1. le informazioni pubblicate sui siti web della P.A. debbono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro;
  2. su ogni pagina del sito dovrebbe essere chiaramente visibile il link alla pagina privacy;
  3. qualora i siti web o i servizi digitali siano specificamente indirizzati a minori o a soggetti con disabilità, contenuti e informazioni dovrebbero essere ripensati per quello specifico target di utenti.

Altri suggerimenti dati dal Garante, che come quelli fin qui visti, sono la correzione di errori comuni visti e rivisti nei siti delle P.A. italiane sono:

  1. nel caso di app mobile, la pagina privacy deve essere sempre distante massimo due click, preferibilmente indicizzando la stessa nel menù di navigazione;
  2. l’Informativa privacy deve riguardare specificamente l’app e non meramente l’informativa generica e omnicomprensiva di tutte le attività di trattamento della pubblica amministrazione.

Infine, il Garante chiede ad AgID attraverso queste line guida di ricordare alle P.A. che i contatti del DPO “quantomeno un indirizzo di posta elettronica” debbono essere sempre pubblicati. Specifica inoltre che la figura del DPO deve comparire all’interno dell’Organigramma dell’ente.

L’utilizzo di cookie o di altri strumenti di tracciamento

Il Garante sul tema dei cookie ribadisce forse l’ovvio, ma che forse per le Pubbliche Amministrazioni non è ancora così chiaro ed evidente. Chiede dunque ad AgID: “occorre evidenziare, nelle linee guida in esame, che l’utilizzo dei cookie o altri strumenti di tracciamento nell’ambito di un sito web richiede un attenta valutazione in ordine alla necessità del ricorso agli stessi”, verificando:

  1. conformità alle finalità perseguite dalla P.A.;
  2. loro liceità;
  3. i trattamenti consequenziali e successivi al tracciamento mediante i cookies;
  4. l’eventuale trasferimento verso paesi extra UE.

Il Garante quindi richiama l’attenzione alla propria Line guida in materia di Cookie del giugno scorso e ribadisce l’importanza di attivare le necessarie forme di comunicazione mediante banner e informativa dedicata, e lo fa in maniera piuttosto perentoria: “… devono avvenire nel rigoroso rispetto del principio di correttezza… assicurando, in ogni caso, la piena fruibilità del sito web o del servizio digitale anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate”.

Infine, e se non è una bocciatura è quantomeno un richiamo all’ordine, il Garante avvisa AgID che l’invito ad “aderire alla piattaforma Web Analytics Italia (WAI), soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle P.A. italiane”, è critico per diversi elementi:

  1. il Garante non è stato ancora chiamato ad esprimersi sulla bontà della soluzione;
  2. l’utente ne deve essere debitamente informato;
  3. richiama “l’attenzione sulla necessità di definire e disciplinare i ruoli e le responsabilità del fornitore” di tale soluzione.

Rapporti con i fornitori di servizi

Relativamente ai fornitori il Garante invita AgID nella propria linea guida a ribadire almeno gli elementi basici prescritti dal GDPR in materia di responsabile “esterno”, quali la selezione di fornitori, non solo per lo sviluppo sito web ma anche per tutti i servizi informatici, che presentino garanzie sufficienti; che vi sia l’accordo di nomina ex Art. 28 del GDPR; che si disciplini la catena di subfornitura, elemento spesso trascurato; che si individui una corretta ripartizione delle responsabilità.

Utilizzo dei sistemi di autenticazione e di elementi di terze parti

Il Garante sottolinea che: “Lo schema di linee guida in esame… deve evidenziare che, nel progettare i servizi digitali, occorre garantire il rispetto del principio di minimizzazione dei dati assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), del Regolamento e art. 27 del Regolamento recante le modalità attuative per la realizzazione dello SPID)”.

Conclusioni

Il Garante dunque esprime parere favorevole sullo schema “Linee guida di design per i siti internet e i servizi digitali della PA”, purchè sia integrato con le proprie indicazioni, descritte nel corpo dell’articolo. Secondo la mia valutazione personale, le criticità espresse dal Garante, ovviamente con il dovuto distacco e rispetto istituzionale, sembrano essere, e lo si evince fra le righe del parere, una critica più profonda e trasversale rispetto alle singole osservazioni sollevate.

C’era davvero bisogno di un parere del Garante per sapere che le Linee guida per la realizzazione di siti web per la P.A. dovessero riportare l’informativa cookie? O che l’informativa non debba essere quella generale e omnicomprensiva dell’ente ma piuttosto una specifica per gli utenti naviganti sul sito? Serviva Stazione e il suo team per ricordare ad AgID di inserire nelle proprie linee guida un richiamo alla Linea guida sui cookie del Garante? Che i fornitori di soluzioni IT debbano essere nominati ex articolo 28 del GDPR e che tutti gli elementi di tale disposto debbano essere applicati comprese le indicazioni sulla filiera di subfornitura?

Al sottoscritto, leggendo le osservazioni descritte nel parere del Garante, è emerso il dubbio che forse in AgID dovrebbero acquisire gli elementi essenziali del Regolamento UE 679/2016 più profondamente e più consapevolmente. Anche in passato AgID, in quell’occasione in materia di conservazione documentale, si era dimostrata poco ferrata sul GDPR e anche in quel caso le osservazioni del Garante erano state nutrite e corpose.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2