g-docweb-display Portlet

Linee guida dei siti web delle pubbliche amministrazioni del Ministro per la pubblica amministrazione e l'innovazione - 7 luglio 2011 [1826713]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1826713]

Linee guida dei siti web delle pubbliche amministrazioni del Ministro per la pubblica amministrazione e l´innovazione - 7 luglio 2011

Registro dei provvedimenti
n. 282 del 7 luglio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri-Dipartimento della funzione pubblica;

Visto l´art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante in ordine a una versione preliminare – sottoposta a consultazione pubblica – delle "linee guida dei siti web delle pubbliche amministrazioni del Ministro per la pubblica amministrazione e l´innovazione".

Il provvedimento in esame è adottato ai sensi dell´articolo 4 della direttiva n. 8 del 2009 del Ministro per la pubblica amministrazione e l´innovazione "per la riduzione dei siti web delle pubbliche amministrazioni e per il miglioramento della qualità dei servizi e delle informazioni on-line al cittadino" e comprende "i criteri e gli strumenti per assicurare la riduzione dei siti pubblici obsoleti ed il miglioramento di quelli attivi in termini di: 1) principi generali; 2) gestione ed aggiornamenti; 3) contenuti minimi".

Le linee guida si indirizzano a tutte le amministrazioni pubbliche di cui all´articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 e sono articolate in diverse sezioni, contenenti anche disposizioni di notevole rilievo ai fini della protezione dei dati personali trattati dalle pubbliche amministrazioni.

RILEVATO

1. Policy dei siti web.
Al § 4.7., nell´enunciare i criteri fondamentali cui deve attenersi la gestione del sito web di ciascuna pubblica amministrazione, da esplicitare in apposita informativa anche in riferimento al trattamento dei dati personali, le linee guida dedicano apposite sezioni, fra l´altro, ai dati di navigazione, ai dati forniti volontariamente dall´utente e ai cookies.

Al riguardo si svolgono le seguenti osservazioni.

1.1. Dati di navigazione.
Si tratta di "informazioni che non sono raccolte per essere associate a interessati identificati" ma che tuttavia mediante l´associazione con altri dati potrebbero consentire l´identificazione degli utenti (es.: indirizzi IP o nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito). Si prevede che tali dati possano essere utilizzati solo per elaborare statistiche anonime e debbano essere cancellati immediatamente dopo tale elaborazione.

Data la delicatezza delle informazioni raccolte, si invitino le Amministrazioni destinatarie a fissare – in maniera proporzionale alla finalità perseguita - dei termini di conservazione dei dati di navigazione, scaduti i quali gli stessi dati devono essere cancellati o resi anonimi.

1.2. Dati forniti volontariamente dall´utente.
Una sezione ad hoc è riservata ai servizi web che prevedano l´invio facoltativo, esplicito e volontario di posta elettronica a determinati indirizzi, secondo modalità che comportino poi anche l´acquisizione dell´indirizzo del mittente, al fine di rispondere ad eventuali richieste, nonché degli ulteriori dati personali eventualmente contenuti nella comunicazione. Nel precisare il contenuto dell´avviso che in tali casi deve essere pubblicato sulla pagina web, si fa riferimento all´esigenza di indicare "il trattamento di dati sensibili o giudiziari eventualmente forniti dall´utente nel corpo della mail". Se, come sembra, con tale espressione ci si intende riferire all´esigenza di informare – ai fini di cui all´articolo 13 del Codice - l´utente della possibilità che – ovviamente nei casi e nei limiti di cui agli articoli 20, 21 e 22 del Codice - siano trattati i dati sensibili o giudiziari eventualmente da lui stesso volontariamente forniti nel corpo del messaggio, sarebbe opportuno rendere più esplicito il testo sul punto, al fine di evitare ogni dubbio in sede applicativa.

1.3.  Uso dei cookies.
Le linee guida vietano l´uso di cookies persistenti "di alcun tipo", salvo poi "riammetterlo" per soli fini di acquisizione di dati statistici di accesso al sito, per mantenere le preferenze dell´utente riguardo a lingua, layout del sito, ecc... Al riguardo è opportuno precisare che l´uso dei cookies persistenti è ammissibile unicamente qualora esso sia necessario alla resa di un servizio che rientri nelle funzioni istituzionali dell´amministrazione.

2. Reperibilità sul web degli indirizzi di posta elettronica istituzionali.
Nella sezione relativa alle "caselle di posta elettronica e posta elettronica certificata" la Appendice alle linee guida prescrive la pubblicazione, nei siti istituzionali delle pubbliche amministrazioni, dell´elenco delle caselle di posta elettronica attive. Al fine di evitare che tale elenco – come spesso accade - sia utilizzato al fine di inviare, alle caselle di posta elettronica del personale o degli uffici, messaggi per finalità estranee alle funzioni istituzionali dell´ente, è opportuno precisare nello schema che il suddetto elenco deve essere sottratto all´indicizzazione da parte di motori di ricerca generalisti e che la sua pubblicazione deve essere accompagnata da un avviso su tali limitazioni d´uso.

3.Normativa di riferimento.

3.1. Nel richiamare, all´interno del § 1.1.4., la normativa di riferimento in materia di "privacy", l´odierno provvedimento cita taluni provvedimenti che avrebbero "aggiornato" le "prescrizioni contenute nel Codice della privacy". Al riguardo, si osserva che se, come sembra, il riferimento deve intendersi a norme di legge modificative o integrative del Codice,  queste ultime non si esauriscono in quelle elencate (si pensi, ad esempio, alla legge 4 novembre 2010, n. 183, che ha novellato l´articolo 19 del Codice proprio in relazione all´accessibilità dei dati relativi agli addetti a pubbliche funzioni). Inoltre, valuti l´Amministrazione se richiamare a parte le Linee guida emanate dal Garante in data 2 marzo 2011, opportunamente citate, che non hanno evidentemente forza di legge.

3.2. Nell´enunciare i parametri normativi e provvedimentali cui le pubbliche amministrazioni devono attenersi nella selezione dei contenuti indefettibili dei propri siti istituzionali, mentre correttamente si cita la delibera CiVIT n. 105/2010, l´Appendice alle linee guida, nell´ambito della sezione relativa alla "trasparenza, valutazione e merito", non richiama invece le linee guida emanate dal Garante in data 2 marzo 2011, in materia di "trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato anche da soggetti pubblici per finalità di pubblicazione e diffusione sul web", che contengono invece prescrizioni specifiche, segnatamente in ordine alle modalità di pubblicazione on-line di dati personali da parte di soggetti pubblici. E´ quindi opportuno integrare in tal senso la suddetta sezione dell´Appendice.

IL GARANTE

esprime parere favorevole sullo schema di "linee guida dei siti web delle pubbliche amministrazioni" del Ministro per la pubblica amministrazione e l´innovazione, con le seguenti osservazioni:

a) al § 4.7, in relazione ai dati di navigazione, si invitino le Amministrazioni destinatarie a fissare – in maniera proporzionale alla finalità perseguita - dei termini di conservazione dei dati di navigazione, scaduti i quali gli stessi dati devono essere cancellati o resi anonimi (punto 1.1);

b) al § 4.7 si chiarisca se, con il riferimento all´indicazione del "trattamento di dati sensibili o giudiziari eventualmente forniti dall´utente nel corpo della mail", ci si intenda riferire all´esigenza di informare – ai sensi dell´articolo 13 del Codice - l´utente della possibilità che siano trattati i dati sensibili o giudiziari da lui stesso volontariamente forniti (punto 1.2);

c) al § 4.7, relativamente ai cookies, si precisi che l´uso dei cookies persistenti è ammissibile unicamente qualora esso sia necessario alla resa di un servizio che rientri nelle funzioni istituzionali dell´amministrazione (punto 1.3);

d) nella sezione relativa alle "caselle di posta elettronica e posta elettronica certificata" dell´Appendice alle linee guida, sia precisato che l´elenco degli indirizzi e-mail istituzionali del personale e degli uffici deve essere sottratto all´indicizzazione da parte di motori di ricerca generalisti e deve essere resa un´informativa sulle finalità della pubblicazione dell´elenco e sulle conseguenti limitazioni d´uso (punto 2);

e) in relazione al § 1.1.4., valuti l´Amministrazione l´opportunità di completare l´elencazione delle novelle al Codice, collocando in una sezione distinta il riferimento alle Linee guida emanate dal Garante in data 2 marzo 2011, in materia di "trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato anche da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (punto 3.1); valuti altresì l´Amministrazione l´opportunità di integrare la sezione relativa alla "trasparenza, valutazione e merito" dell´Appendice con il riferimento alle predette linee guida emanate dal Garante in data 2 marzo 2011 (punto 3.2).

Roma, 7 luglio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli