Le osservazioni del Garante alle Linee guida AgID per i servizi digitali delle PA

di Claudia Figliolia

16 aprile 2022

Con il parere del 24 febbraio 2022 il Garante per la protezione dei dati personali si è espresso sullo schema di “Linee guida di design per i siti internet e i servizi digitali della PA” proposto dall’Agenzia per l’Italia Digitale nel luglio 2021 volte a definire e orientare la progettazione e la realizzazione dei siti internet e servizi digitali erogati dalle Pubbliche Amministrazioni.
Come rilevato dal Garante, dette Linee Guida rappresentano un’importante opportunità “per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default”.
Nell’esprimere parere favorevole, il Garante ha tuttavia indicato talune integrazioni necessarie per garantirne la conformità delle linee guida al Codice della privacy.
E così, in primo luogo, con riguardo alla sicurezza del trattamento, il Garante sottolinea la necessità di integrare lo schema precisando che, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, il titolare debba effettuare in via preliminare una valutazione d’impatto sulla protezione dei dati, anche eventualmente consultando il Garante.
In secondo luogo, al fine di garantire più alti livelli di trasparenza dei trattamenti effettuati nei confronti degli interessati, le linee guida andrebbero integrate prevedendo che: a) le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori; b) su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali, che riporti una dicitura di uso comune; c) al momento della raccolta dei dati personali in ambiente online, deve, inoltre, essere fornito il link all’informativa sul trattamento dei dati personali o, in alternativa, le informazioni sul trattamento dei dati devono essere messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali; d) allorquando i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, è necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dell’informativa sul trattamento dei dati personali; e) nei casi in cui i siti web o i servizi digitali siano specificamente indirizzati, invece, ai minori, l’informativa da rendere agli interessati deve essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti.
In terzo luogo, il Garante sottolinea che l’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale richiede un’attenta valutazione in ordine alla necessità del ricorso agli stessi rispetto alle finalità perseguite dalla pubblica amministrazione. Gli utenti devono dunque essere informati di tale utilizzo secondo le modalità di cui alle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021.
Vengono inoltre delineate talune specifiche in ordine alla proposta di nomina quale responsabili del trattamento degli eventuali fornitori dei servizi web che trattano dati personali per conto del titolare del trattamento: ad esempio, la necessità di garantire che si ricorra a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate ad assicurare la tutela dei diritti dell’interessato; la previsione di un accordo sulla protezione dei dati tra il titolare del trattamento e il responsabile che individui adeguatamente l’ambito, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento; individuare una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali.
Relativamente, infine, all’utilizzo di sistemi di autenticazione, il Garante sottolinea la necessità che nel progettare i servizi digitali, sia garantito il rispetto del principio di minimizzazione di dati, assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.