Linee Guida AgID per i siti web e i servizi digitali della PA

Il Garante per la Protezione dei Dati Personali ha formulato in data 24 febbraio 2022 il proprio parere sulla bozza di Linee Guida predisposte da AGID per i servizi web della PA.

Nella sostanza, il parere è favorevole, ma il Garante ha ritenuto opportuno sottolineare alcuni aspetti particolarmente rilevanti del trattamento dei dati attraverso i siti internet, che riteniamo opportuno sintetizzare di seguito.

 In sintesi, il Garante ha ritenuto di precisare : 

  • che le misure minime di sicurezza previste dalla circolare AGID del 18.04.2017 non sono di per sé garanzia di conformità del trattamento alla normativa, essendo comunque richiesta alla PA una autonoma valutazione del grado di rischio del trattamento e la utilizzazione di misure di sicurezza adeguate in rapporto al caso concreto;
  •  che sul sito deve comparire una informativa sul trattamento dei dati personali :
    • concisa, trasparente, intelligibile e facilmente accessibile, nonché formulata con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
    • accessibile da un link chiaramente individuabile e presente su ogni pagina del sito;
    • accessibile fin dal momento della raccolta dei dati personali in ambiente online, direttamente o tramite apposito link;
    • effettivamente accessibile anche a soggetti con disabilità;

  • che qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), le informazioni necessarie devono essere messe a disposizione presso gli store delle app prima del download;

  • che vengano comunque pubblicati i dati di contatto del responsabile della protezione dei dati (RPD), anche solo un indirizzo di posta elettronica, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage.

Particolare attenzione, inoltre, è stata posta al rapporto con altri soggetti, incaricati di trattamenti per conto della PA Titolare e in tale ruolo nominati quali Responsabili ai sensi dell’art. 28 GDPR.

 In tali casi il Garante raccomanda che la PA :

  • nomini Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;

  • nell’accordo che verrà stipulato con il Responsabile, venga individuato adeguatamente l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e le istruzioni fornite al responsabile del trattamento;

  • individui una corretta ripartizione delle responsabilità tra titolare e responsabile, anche in relazione all’adozione di adeguate misure tecniche e organizzative, evitando, in particolare, sproporzionati esoneri di responsabilità.

Infine, il Garante sottolinea la necessità di garantire il rispetto del principio di minimizzazione di dati, assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.