Finalità

Questo requisito delle Linee guida di design per i siti internet e i servizi digitali della PA intende fornire indicazioni su come progettare e sviluppare servizi digitali che garantiscano la trasparenza delle informazioni e la sicurezza, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali.

Perché è importante

ll principio della trasparenza consiste nella accessibilità, da parte di tutti, a tutte le informazioni che riguardano le attività della Pubblica amministrazione. Affermato con il decreto legislativo 14 marzo 2013, n. 33, è stato poi confermato dal decreto legislativo 25 maggio 2016, n. 97 o Freedom Of Information Act (Foia), come accessibilità totale a tutti i dati e i documenti gestiti dalla PA.

Di qui la necessità progettare dei siti e servizi che siano trasparenti per il cittadino ma che, allo stesso tempo, garantiscano la protezione dei dati personali nel rispetto del GDPR e delle Linee guida del Comitato europeo per la protezione dei dati e almeno il livello base di sicurezza stabilito dalle Misure minime di sicurezza ICT per le pubbliche amministrazioni.

Azioni previste dal requisito

Azione 1

DEVE essere garantita la protezione dei dati personali nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR e delle Linee guida del Comitato europeo per la protezione dei dati nelle «Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita» adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020

Azione 2

DEVE essere rispettato almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento, fermo restando - in ogni caso e al fine di una effettiva protezione dei dati personali - che DEVE sempre essere effettuata la necessaria e puntuale valutazione in merito a quanto stabilito agli artt. 5, par. 1, lett. f) e 32 del GDPR

Azione 3

Prima di procedere al trattamento, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, DEVE essere effettuata, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e, al ricorrere delle condizioni previste dall’art. 36 del GDPR, DEVE essere altresì consultato il Garante per la protezione dei dati personali, anche alla luce delle «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017

Azione 4

DEVE essere pubblicata, sul singolo sito, l’informativa sul trattamento dei dati personali e, laddove individuato quale base giuridica del trattamento, altresì richiesto il consenso eventualmente anche con riferimento all’uso dei c.d. cookie

Azione 5

DEVONO essere rese agli utenti, sul trattamento dei loro dati personali, informazioni concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori, nel rispetto dell’art. 12 del GDPR

Azione 6

DOVREBBE essere chiaramente visibile, su ogni pagina del sito, un link diretto all’informativa sul trattamento dei dati personali che riporti una dicitura di uso comune (come «Privacy», «Informativa sulla privacy» o «Informativa sulla protezione dei dati»)

Azione 7

DEVE essere fornito, al momento della raccolta dei dati personali in ambiente online, il link all’informativa sul trattamento dei dati personali o, in alternativa, DEVONO essere messe a disposizione le informazioni sul trattamento dei dati sulla stessa pagina in cui sono raccolti i dati personali

Azione 8

Qualora i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, DEVE essere possibile ai relativi utenti fruire effettivamente dei contenuti dell’informativa sul trattamento dei dati personali

Azione 9

Qualora i siti web o i servizi digitali siano specificamente indirizzati ai minori d’età, l’informativa da rendere agli interessati DEVE essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti

Azione 10

Qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), le necessarie informazioni sul trattamento dei dati personali DEVONO riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente e DEVONO essere messe a disposizione presso gli store delle app prima del download; una volta installata l’app, le informazioni DEVONO continuare a essere facilmente accessibili al suo interno, ad esempio garantendo che tali informazioni non siano mai a più di due «tocchi» di distanza includendo un’opzione Privacy o Protezione dei dati nella funzione di menù dell’app

Azione 11

DEVONO essere pubblicati i dati di contatto del responsabile della protezione dei dati (RPD) che la PA è tenuta a designare, ai sensi dell’art. 37 del GDPR Regolamento; tali dati di contatto DEVONO essere pubblicati sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti, ai sensi del «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico» allegato al Provvedimento 29 aprile 2021, n. 186 emesso dal Garante per la protezione dei dati personali

Azione 12

DEVE essere effettuata un’attenta valutazione in merito all’effettiva necessità di ricorrere all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla PA; tale valutazione DEVE riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice privacy, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, DEVONO avvenire nel rispetto degli artt. 44 e ss. del GDPR

Azione 13

Qualora nel sito web e nel servizio digitale siano utilizzati i c.d. cookie o altri strumenti di tracciamento, gli utenti DEVONO essere informati in merito all’impiego degli stessi, ai sensi degli artt. 12-13 del GDPR e 122 del Codice privacy, con le modalità illustrate nelle «Linee guida cookie e altri strumenti di tracciamento» del Garante per la protezione dei dati personali in data 10 giugno 2021, che integrano e precisano quanto illustrato nel precedente provvedimento recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie» in data 8 maggio 2014, n. 229, anche con riferimento all’eventuale consenso, ove necessario; anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate, DEVE essere assicurata, in ogni caso, la piena fruibilità del sito web o del servizio digitale

Azione 14

Qualora si intenda delegare a fornitori di servizi informatici (ad es. fornitori di servizi web, di servizi di hosting o cloud computing) alcune attività che comportino il trattamento di dati personali, DEVE esser fatto ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato; tali soggetti DEVONO essere nominati responsabili del trattamento ai sensi dell’art. 4, n. 8) del GDPR e nel rispetto di quanto richiesto all’art. 28 del GDPR; in particolare, DEVE individuarsi una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative di sicurezza, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento; PUÒ, inoltre, essere previsto che il responsabile possa ricorrere ad altro responsabile, individuando misure organizzative volte a garantire alla PA titolare del trattamento idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità;

DOVREBBE essere previsto, infine, che, qualora tali fornitori di servizi siano stabiliti in Paesi terzi, DEVONO essere soddisfatte le condizioni previste dagli artt. 44 e ss. del GDPR ai fini della liceità del trasferimento dei dati personali in tali Paesi (anche ai sensi delle «Guidelines 07/2020 on the concepts of controller and processor in the GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021)

Azione 15

DEVONO inserirsi i trattamenti di dati personali effettuati mediante il sito web o il servizio online nel Registro dei trattamenti, ai sensi dell’art. 30 del GDPR

Riferimenti normativi

  • Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

  • Codice Privacy - Decreto legislativo 30 giugno 2003, n. 196 e s.m.i. Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

  • Provvedimento del Garante per la protezione dei dati personali 8 maggio 2014, n. 229 Individuazione delle modalita' semplificative per l'informativa e l'acquisizione del consenso per l'uso dei cookie

  • Provvedimento del Garante per la protezione dei dati personali 29 aprile 2021, n.186 Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico

  • Linee guida cookie e altri strumenti di tracciamento emesse dal Garante per la protezione dei dati personali in data 10 giugno 2021

  • Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Adottate il 7 luglio 2021

  • Direttiva UE n. 1148 del 6 luglio 2016 Recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione

  • Decreto legislativo 18 maggio 2018, n. 65 Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione