Linee guida dei siti web delle pubbliche amministrazioni del Ministro per la pubblica amministrazione e l'innovazione

Linee guida dei sitiweb delle pubbliche amministrazioni del Ministro per la pubblica amministrazionee l'innovazione

PROVVEDIMENTO DEL 7LUGLIO 2011

Registro dei provvedimenti n. 282 del7 luglio 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio deiministri-Dipartimento della funzione pubblica;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Dipartimento della funzione pubblica della Presidenza del Consigliodei Ministri ha richiesto il parere del Garante in ordine a una versionepreliminare – sottoposta a consultazione pubblica – delle "lineeguida dei siti web delle pubbliche amministrazioni del Ministro per la pubblicaamministrazione e l'innovazione".

Il provvedimento in esame à adottato ai sensi dell'articolo 4 delladirettiva n. 8 del 2009 del Ministro per la pubblica amministrazione el'innovazione "per la riduzione dei siti web delle pubblicheamministrazioni e per il miglioramento della qualità dei servizi e delleinformazioni on-line al cittadino" e comprende "i criteri egli strumenti per assicurare la riduzione dei siti pubblici obsoleti ed ilmiglioramento di quelli attivi in termini di: 1) principi generali; 2) gestioneed aggiornamenti; 3) contenuti minimi".

Le linee guida si indirizzano a tutte le amministrazioni pubbliche dicui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 esono articolate in diverse sezioni, contenenti anche disposizioni di notevolerilievo ai fini della protezione dei dati personali trattati dalle pubblicheamministrazioni.

RILEVATO

1. Policy dei siti web. Alß 4.7., nell'enunciare i criteri fondamentali cui deve attenersi la gestionedel sito web di ciascuna pubblica amministrazione, da esplicitare inapposita informativa anche in riferimento al trattamento dei dati personali, lelinee guida dedicano apposite sezioni, fra l'altro, ai dati di navigazione, aidati forniti volontariamente dall'utente e ai cookies.

Al riguardo si svolgono le seguenti osservazioni.

1.1. Dati di navigazione. Si tratta di "informazioniche non sono raccolte per essere associate a interessati identificati"ma che tuttavia mediante l'associazione con altri dati potrebbero consentirel'identificazione degli utenti (es.: indirizzi IP o nomi a dominio dei computerutilizzati dagli utenti che si connettono al sito). Si prevede che tali dati possanoessere utilizzati solo per elaborare statistiche anonime e debbano esserecancellati immediatamente dopo tale elaborazione.

Data la delicatezza delle informazioni raccolte, si invitino leAmministrazioni destinatarie a fissare – in maniera proporzionale allafinalità perseguita - dei termini di conservazione dei dati di navigazione,scaduti i quali gli stessi dati devono essere cancellati o resi anonimi.

1.2. Dati forniti volontariamente dall'utente. Unasezione ad hoc à riservata ai servizi web che prevedano l'inviofacoltativo, esplicito e volontario di posta elettronica a determinatiindirizzi, secondo modalità che comportino poi anche l'acquisizionedell'indirizzo del mittente, al fine di rispondere ad eventuali richieste,nonchÈ degli ulteriori dati personali eventualmente contenuti nellacomunicazione. Nel precisare il contenuto dell'avviso che in tali casi deveessere pubblicato sulla pagina web, si fa riferimento all'esigenza diindicare "il trattamento di dati sensibili o giudiziari eventualmenteforniti dall'utente nel corpo della mail". Se, come sembra, con taleespressione ci si intende riferire all'esigenza di informare – ai fini dicui all'articolo 13 del Codice - l'utente della possibilità che –ovviamente nei casi e nei limiti di cui agli articoli 20, 21 e 22 del Codice -siano trattati i dati sensibili o giudiziari eventualmente da lui stessovolontariamente forniti nel corpo del messaggio, sarebbe opportuno rendere piùesplicito il testo sul punto, al fine di evitare ogni dubbio in sedeapplicativa.

1.3. Uso dei cookies. Le linee guida vietano l'usodi cookies persistenti "di alcun tipo", salvo poi "riammetterlo"per soli fini di acquisizione di dati statistici di accesso al sito, permantenere le preferenze dell'utente riguardo a lingua, layout del sito,ecc... Al riguardo à opportuno precisare che l'uso dei cookiespersistenti à ammissibile unicamente qualora esso sia necessario alla resa diun servizio che rientri nelle funzioni istituzionali dell'amministrazione.

2. Reperibilità sul web degli indirizzi diposta elettronica istituzionali. Nella sezione relativaalle "caselle di posta elettronica e posta elettronicacertificata" la Appendice alle linee guida prescrive la pubblicazione,nei siti istituzionali delle pubbliche amministrazioni, dell'elenco dellecaselle di posta elettronica attive. Al fine di evitare che tale elenco –come spesso accade - sia utilizzato al fine di inviare, alle caselle di postaelettronica del personale o degli uffici, messaggi per finalità estranee allefunzioni istituzionali dell'ente, à opportuno precisare nello schema che ilsuddetto elenco deve essere sottratto all'indicizzazione da parte di motori diricerca generalisti e che la sua pubblicazione deve essere accompagnata da unavviso su tali limitazioni d'uso.

3.Normativa di riferimento.

3.1. Nel richiamare, all'interno del ß 1.1.4., la normativa diriferimento in materia di "privacy", l'odierno provvedimento citataluni provvedimenti che avrebbero "aggiornato" le "prescrizionicontenute nel Codice della privacy". Al riguardo, si osserva che se, comesembra, il riferimento deve intendersi a norme di legge modificative ointegrative del Codice, queste ultime non si esauriscono in quelleelencate (si pensi, ad esempio, alla legge 4 novembre 2010, n. 183, che hanovellato l'articolo 19 del Codice proprio in relazione all'accessibilità deidati relativi agli addetti a pubbliche funzioni). Inoltre, valutil'Amministrazione se richiamare a parte le Linee guida emanate dal Garante indata 2 marzo 2011, opportunamente citate, che non hanno evidentemente forza dilegge.

3.2. Nell'enunciare i parametri normativi e provvedimentali cui lepubbliche amministrazioni devono attenersi nella selezione dei contenutiindefettibili dei propri siti istituzionali, mentre correttamente si cita ladelibera CiVIT n. 105/2010, l'Appendice alle linee guida, nell'ambito dellasezione relativa alla "trasparenza, valutazione e merito", nonrichiama invece le linee guida emanate dal Garante in data 2 marzo 2011, inmateria di "trattamento di dati personali contenuti anche in atti edocumenti amministrativi, effettuato anche da soggetti pubblici per finalità dipubblicazione e diffusione sul web", che contengono inveceprescrizioni specifiche, segnatamente in ordine alle modalità di pubblicazione on-linedi dati personali da parte di soggetti pubblici. E' quindi opportuno integrarein tal senso la suddetta sezione dell'Appendice.

IL GARANTE

esprime parere favorevole sullo schema di "linee guida deisiti web delle pubbliche amministrazioni" del Ministro per la pubblicaamministrazione e l'innovazione, con le seguenti osservazioni:

a) al ß 4.7, in relazione ai dati di navigazione, si invitino leAmministrazioni destinatarie a fissare – in maniera proporzionale allafinalità perseguita - dei termini di conservazione dei dati di navigazione,scaduti i quali gli stessi dati devono essere cancellati o resi anonimi (punto1.1);

b) al ß 4.7 si chiarisca se, con il riferimento all'indicazionedel "trattamento di dati sensibili o giudiziari eventualmente fornitidall'utente nel corpo della mail", ci si intenda riferire all'esigenzadi informare – ai sensi dell'articolo 13 del Codice - l'utente dellapossibilità che siano trattati i dati sensibili o giudiziari da lui stessovolontariamente forniti (punto 1.2);

c) al ß 4.7, relativamente ai cookies, si precisi chel'uso dei cookies persistenti à ammissibile unicamente qualora esso sianecessario alla resa di un servizio che rientri nelle funzioni istituzionalidell'amministrazione (punto 1.3);

d) nella sezione relativa alle "caselle di postaelettronica e posta elettronica certificata" dell'Appendice alle lineeguida, sia precisato che l'elenco degli indirizzi e-mail istituzionali delpersonale e degli uffici deve essere sottratto all'indicizzazione da parte dimotori di ricerca generalisti e deve essere resa un'informativa sulle finalitàdella pubblicazione dell'elenco e sulle conseguenti limitazioni d'uso (punto2);

e) in relazione al ß 1.1.4., valuti l'Amministrazionel'opportunità di completare l'elencazione delle novelle al Codice, collocandoin una sezione distinta il riferimento alle Linee guida emanate dal Garante indata 2 marzo 2011, in materia di "trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato anche da soggettipubblici per finalità di pubblicazione e diffusione sul web" (punto3.1); valuti altresì l'Amministrazione l'opportunità di integrare la sezionerelativa alla "trasparenza, valutazione e merito"dell'Appendice con il riferimento alle predette linee guida emanate dal Garantein data 2 marzo 2011 (punto 3.2).

Roma, 7 luglio 2011

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli