l Garante privacy, con il parere 24 febbraio 2022, n. 76, ha inteso evidenziare alcune imprecisioni e richiedere alcune integrazioni all’AgID affinché i trattamenti di dati personali posti in essere dai destinatari delle menzionate linee guida siano pienamente conformi ai richiamati principi e garanzie, dando così l’occasione per fare il punto su alcuni aspetti imprescindibili a beneficio dei Titolari del trattamento, di coloro i quali svolgono il ruolo di Responsabile protezione dati e dei soggetti a vario titolo coinvolti e fornire indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento europeo 679/2016 “gdpr”).
1. La sicurezza del trattamento
In primo luogo l’Autorità indipendente non ha esitato a rilevare come il rinvio alla circolare AgID 18 aprile 2017, n. 2, operato all’interno dello schema di linee guida sottoposte alla sua attenzione, non sia di per sé sufficiente ad assicurare l’adozione di misure di sicurezza del trattamento “adeguate”, in conformità al Regolamento (essendo quest’ultimo entrato in vigore dopo la citata circolare), laddove occorre invece valutare, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati (cfr. parere del Garante sullo schema di “Linee guida – La Sicurezza nel procurement ICT” del 30 gennaio 2020, doc. web n. 9283857; parere sullo schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” del 13 febbraio 2020, doc. web n. 9283921).
Il Garante privacy fa quindi espresso richiamo all’esigenza di riformulare il testo in commento, chiarendo che l’adozione delle predette misure minime non è di per sé idonea a soddisfare in tutti casi i requisiti previsti dagli artt. 5, par. 1, lett. f), e 32 gdpr e che dunque una valutazione in tal senso deve essere effettuata, in maniera puntuale, dai titolari del trattamento.
Oltre a ciò rileva come lo schema debba essere integrato precisando che, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, il titolare, ai sensi dell’art. 35 gdpr, deve effettuare, prima di procedere al trattamento, una valutazione d’impatto sulla protezione dei dati, consultando preventivamente il Garante al ricorrere delle condizioni previste dall’art. 36 gdpr. A tal riguardo, lo schema potrebbe contenere un esplicito rimando alle indicazioni fornite dal Comitato europeo per la protezione dei dati nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, WP 248 rev. 01, adottate dal Comitato europeo per la protezione dei dati il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017.
2. La trasparenza nei confronti degli interessati
Per quanto concerne, in generale, la necessità di assicurare la trasparenza dei trattamenti effettuati nei confronti degli interessati, si rileva come sia necessario specificare che:
- nel rispetto di quanto previsto dall’art. 12 gdpr, le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori;
- su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto all’informativa sul trattamento dei dati personali, che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”);
- al momento della raccolta dei dati personali in ambiente online, deve, inoltre, essere fornito il link all’informativa sul trattamento dei dati personali o, in alternativa, le informazioni sul trattamento dei dati devono essere messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali;
- allorquando i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, è necessario fare in modo che gli interessati possano effettivamente fruire dei contenuti dell’informativa sul trattamento dei dati personali;
- nei casi in cui i siti web o i servizi digitali siano specificamente indirizzati, invece, ai minori, l’informativa da rendere agli interessati deve essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti[1].
Nel caso di erogazione di servizi digitali che avvenga attraverso applicazioni per dispositivi mobili (app), le informazioni necessarie devono essere messe a disposizione presso gli store delle app prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno. Un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a più di due “tocchi” di distanza (ad es. includendo un’opzione “Privacy”/”Protezione dei dati” nella funzione di menù dell’app). Inoltre, l’informativa sul trattamento dei dati personali deve riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente[2].
Ravvisa, infine, il Garante privacy, l’esigenza che lo schema di linee guida in commento evidenzi alle pubbliche amministrazioni l’obbligo, previsto dall’art. 37, par. 7, del Regolamento, di pubblicare i dati di contatto del responsabile della protezione dei dati (RPD), che le stesse sono tenute a designare ai sensi dell’art. 37, par. 1, lett. a), del Regolamento. Come indicato nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” (doc. web n. 9589467) allegato al provv. 29 aprile 2021, n. 186 (doc. web n. 9589104), la pubblicazione di tali dati di contatto deve essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti. Non è necessario che, tra i dati oggetto di pubblicazione, vi sia anche il nominativo del RPD, non essendo questa informazione indispensabile a fini di contatto da parte di chiunque sia interessato: al contrario, risulta imprescindibile che tra i dati di contatto vi sia quantomeno un indirizzo di posta elettronica ordinaria (e, eventualmente, un indirizzo di posta elettronica certificata).
3. Utilizzo di cookie o di altri strumenti di tracciamento
L’esame del Garante privacy si è soffermato anche sull’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale sottolineando come sia necessaria un’attenta valutazione in ordine alla necessità del ricorso agli stessi rispetto alle finalità perseguite dalla pubblica amministrazione. Tale valutazione deve riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, devono avvenire nel rispetto degli artt. 44 e ss. gdpr.
Innanzitutto, con riguardo al rispetto del principio di trasparenza e alla necessità, prospettata nello schema in esame, di “pubblicare, sul singolo sito, l’informativa sul trattamento dei dati personali” (paragrafo 5.2), l’Autorità evidenzia che, allorquando nel sito web e nel servizio digitale siano utilizzati dei c.d. cookie o altri strumenti di tracciamento, i titolari del trattamento, ai sensi degli artt. 12 e 13 del Regolamento, nonché 122 del Codice, devono informare gli utenti in merito all’impiego degli stessi, con le modalità illustrate nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021 (doc. web n. 9677876), che integrano e precisano quanto illustrato nel precedente provvedimento 8 maggio 2014, n. 229 del Garante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (doc. web n. 3118884).
Con specifico riferimento all’individuazione delle fattispecie in cui è necessario acquisire un consenso all’utilizzo di cookie o di altri strumenti di tracciamento e alle modalità di acquisizione dello stesso, che devono avvenire nel rigoroso rispetto del principio di correttezza, si evidenzia la necessità di richiamare espressamente le citate “Linee guida cookie e altri strumenti di tracciamento”, assicurando, in ogni caso, la piena fruibilità del sito web o del servizio digitale anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.
Per quanto concerne, poi, l’invito ad “aderire alla piattaforma Web Analytics Italia (WAI), soluzione open source di raccolta, analisi e condivisione dei dati di traffico e comportamento utente dedicata ai siti web delle amministrazioni pubbliche italiane”, il Garante non manca di osservare come questa non sia ancora stata sottoposta alla sua attenzione. Ciononostante evidenzia la necessità che gli utenti ne siano debitamente informati ai sensi degli artt. 12 e 13 gdpr e 122 del Codice, assicurando il rispetto di quanto previsto nelle richiamate linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento. Occorre, altresì, richiamare l’attenzione sulla necessità di definire e disciplinare i ruoli e le responsabilità del fornitore di tale piattaforma ai fini del rispetto della normativa in materia di protezione dei dati.
4. Rapporti con i fornitori dei servizi
Con riguardo all’indicazione di “nominare Responsabili del trattamento ai sensi dell’art. 28 gdpr gli eventuali fornitori dei servizi web che trattano dati personali per conto del soggetto titolare del trattamento”, il Garante privacy evidenzia come il titolare debba:
- ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”, anche in considerazione dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato, derivanti anche da eventuali trasferimenti di dati verso Paesi terzi;
- regolare i trattamenti svolti per suo conto da parte del responsabile attraverso un accordo sulla protezione dei dati, individuando adeguatamente l’ambito e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e, inoltre, vengano documentate le istruzioni fornite al responsabile del trattamento (art. 28 gdpr);
- disciplinare la possibilità per il responsabile del trattamento di ricorrere ad altro responsabile, in conformità all’art. 28, parr. 2 e 4 gdpr, individuando misure organizzative volte a garantire al titolare del trattamento, in ossequio al principio di accountability, idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità (ad esempio, modalità di aggiornamento dell’elenco degli altri responsabili);
- individuare una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento.
Ciò non solo nei rapporti con i “fornitori dei servizi web”, bensì con qualunque fornitore di servizi informatici, come, ad esempio, i fornitori di servizi di hosting o cloud computing, rispetto ai quali l’amministrazione agisce in qualità di titolare (sul punto, v. le “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare punti 30 e 40). Il documento in esame dovrebbe, inoltre, evidenziare che, allorquando tali fornitori di servizi siano stabiliti in Paesi terzi, occorre, altresì, soddisfare le condizioni previste dagli artt. 44 e ss. del Regolamento ai fini della liceità del trasferimento dei dati personali in tali Paesi.
5. L’utilizzo dei sistemi di autenticazione e di elementi di terze parti
A tal proposito l’Autorità indipendente ricorda come nel progettare i servizi digitali, occorra garantire il rispetto del principio di minimizzazione dei dati, assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), del Regolamento e art. 27 del Regolamento recante le modalità attuative per la realizzazione dello SPID).
Ritiene necessario, infine, esplicitare nello schema che l’utilizzo di eventuali elementi di terze parti incorporati sui propri siti web (ad esempio, font tipografici, video player, social plug-in, ecc.) può comportare la comunicazione di dati personali a terzi, nonché, in taluni casi, anche il trasferimento dei dati personali in Paesi terzi, che richiedono valutazioni, caso per caso, in ordine alla sussistenza di un’idonea base giuridica (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice) e di adeguate garanzie ai sensi degli artt. 44 e ss. gdpr.
[1] Cfr. “Linee guida sulla trasparenza ai sensi del regolamento 2016/679”, adottate dal “Gruppo di lavoro articolo 29”, il 29 novembre 2017 e modificate l’11 aprile 2018, WP260 rev.01, fatte proprie dal Comitato europeo per la protezione dei dati con “Endorsement 1/2018” del 25 maggio 2018).
[2] Cfr. linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati.