2.4. Privacy¶
Il principio della privacy by design (protezione dei dati fin dalla progettazione) prevede che la protezione dei dati personali degli utenti sia integrata e presente lungo tutto il ciclo di progettazione del prodotto/servizio digitale. Assieme al principio della privacy by default (protezione dei dati per impostazione predefinita) - che prevede che prodotti e servizi rispettino i principi generali di protezione dei dati personali come ad esempio il principio di minimizzazione dei dati o quello di limitazione delle finalità - è parte dell’articolo 25 del Regolamento Europeo generale sulla protezione dei dati (GDPR - UE/2016/679).
2.4.1. Come rispettare la privacy sin dalla progettazione di un sito o servizio digitale¶
Progettare i servizi digitali comporta in primo luogo il rispetto di due principi fondamentali richiamati dall’articolo 25 del GDPR:
il rispetto del principio di protezione dei dati fin dalla progettazione, cosiddetto “Privacy by design”;
il rispetto del principio di “protezione dei dati per impostazione predefinita”, cosiddetto “Privacy by default”.
Questi principi impongono, infatti, alla Pubblica Amministrazione di integrare le considerazioni sulla protezione dei dati nelle operazioni e nei sistemi di trattamento fin dalla fase iniziale, anziché considerare la protezione dei dati una questione di conformità di cui occuparsi all’ultimo minuto.
Come indicato dal considerando 78 del GDPR tali misure, da applicarsi anche in ambito degli appalti pubblici,
“potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.”
Il Comitato Europeo per la Protezione dei dati (EDPB - European Data Protection Board), cioè l’organo che garantisce l’applicazione coerente del Regolamento a norma dell’articolo 70 GDPR, fornisce linee guida, raccomandazioni e best practice che potranno aiutarti nell’implementazione dei tuoi servizi.
Consulta anche gli strumenti messi a disposizione dal nostro Garante per la protezione dei dati che è l’Autorità nazionale deputata all’attuazione del GDPR.
Ti segnaliamo, per esempio, questi documenti che potrebbe essere utile consultare per la progettazione di servizi digitali, ricordando di confrontarti sempre con il team privacy interno e il tuo Responsabile per la Protezione dei Dati (Data Protection Officer):
le Linee Guida n. 4/2019 sulla “Data Protection By Design e By Default” (adottate il 20 ottobre 2020);
le Linee Guida WP260 rev.01 sulla trasparenza (adottate il 29 novembre 2019 - versione emendata del 11 aprile 2018);
se il servizio digitale che stai progettando prevede anche trattamenti di dati personali nell’ambito dei rapporti di lavoro, ti suggeriamo di consultare il Parere 2/2017 WP249 sul trattamento dei dati sul posto di lavoro . Anche se antecedente, il GDPR si considera attuale per la maggior parte degli aspetti trattati: ricordati che le informazioni generate sul posto di lavoro godono di una particolare tutela;
le Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento del 10 giugno 2021.
Progetta e sviluppa servizi digitali sicuri, nel rispetto di quanto indicato dalle Linee Guida di design per i siti internet e i servizi digitali della PA ricordandoti che, come chiarito dal Garante per la protezione dei dati personali nel parere espresso su queste Linee guida, nell’ambito dei requisiti di sicurezza cui sono tenuti i vari soggetti coinvolti nel trattamento occorre sempre valutare in concreto i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.
In particolare, ricorda che in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, il titolare, ai sensi dell’art. 35 del GDPR, deve effettuare, prima di procedere al trattamento,una valutazione d’impatto sulla protezione dei dati, consultando preventivamente il Garante al ricorrere delle condizioni previste dall’art. 36 del GDPR.
Per approfondire, consulta la pagina informativa del Garante e le Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, WP 248 rev. 01, adottate dal Comitato europeo per la protezione dei dati il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017.
2.4.2. Richiedi il consenso quando necessario¶
Il GDPR prevede che le pubbliche amministrazioni possano trattare dati personali quando «è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure quando «il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e del GDPR). Al fine di adempiere i predetti “obblighi legali” o “compiti di interesse pubblico o connessi all’esercizio di poteri pubblici”, i soggetti pubblici non devono richiedere alcun consenso (o autorizzazione) agli interessati per il trattamento dei loro dati personali, in quanto in tali casi, anche il consenso potrebbe non costituire un valido presupposto alla luce dell’evidente squilibrio tra l’interessato e il titolare del trattamento (considerando n. 43 del GDPR[1]).
A prescindere dalla necessità o meno di richiedere il consenso, la pubblica amministrazione deve in ogni caso rispettare i principi di «minimizzazione» e di «finalità del trattamento», in base ai quali i dati devono essere – rispettivamente – «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» e «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità» (art. 5, par. 1, lett. c e b del GDPR).
Pertanto, ciascuna Pubblica Amministrazione è tenuta a verificare, in primo luogo, se esiste un’idonea base giuridica che consenta il trattamento dei dati personali per le finalità del servizio che intende realizzare.
Qui di seguito trovi alcuni “casi d’uso” che possono aiutarti a valutare se il consenso è la corretta base giuridica per l’iniziativa o il servizio che intendi proporre.
[1] Attenzione: Con decreto legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205, è stato novellato l’articolo 2-ter del Codice in materia dei dati personali, recato dal decreto legislativo n. 196 del 2003. La modifica concerne la base giuridica del trattamento dei dati da parte di un’amministrazione pubblica (o alcuni soggetti equiparati). In particolare, la novella normativa annovera anche “gli atti amministrativi generali”, oltre la norma di legge e regolamento, tra le basi giuridiche “fermo restando ogni altro obbligo previsto dal Regolamento e dal codice”. Inoltre, nel rispetto dell’articolo 6 del GDPR, il trattamento è anche consentito qualora lo stesso sia “necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri”. La novella normativa ha inciso anche sulla disciplina relativa alla comunicazione e diffusione dei dati da parte delle pubbliche amministrazioni. In particolare, ora è previsto che: 1) la comunicazione dei dati fra titolari che effettuano trattamenti di dati personali è ammessa per quelli diversi da quelli ricompresi nelle particolari categorie di dati o relativi a condanne penali o reati, se prevista da una norma di legge o di regolamento ovvero da atto amministrativo generale oppure quando è necessaria per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri; 2) la diffusione e la comunicazione di dati personali a soggetti che intendano trattarli per altre finalità sono ammesse se previste da una norma di legge o di regolamento ovvero da atto amministrativo generale; 3) la diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri, a soggetti che intendano trattarli per altre finalità in assenza di base normativa primaria o secondaria o di base amministrativa generale è ammessa purché ne sia data notizia al Garante almeno dieci giorni prima della diffusione e della comunicazione di dati personali. Si ricorda che, secondo il lessico normativo di riferimento, per “comunicazione” si intende la resa a conoscenza dei dati personali a uno o più soggetti determinati; per “diffusione”, la resa a conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
2.4.2.1. Consenso no¶
Ci sono dei casi, come l’invio di una newsletter informativa ricevuta su richiesta dell’interessato, che possono trovare fondamento nei compiti istituzionali affidati alla Pubblica Amministrazione volti a favorire la conoscenza dei compiti e delle iniziative istituzionali. Quando la Pubblica Amministrazione richiede l’invio, su base volontaria, di contributi, quali lettere, disegni, racconti e video contenenti dati personali di minori o adulti, la base giuridica potrebbe essere allo stesso modo individuata nei compiti istituzionali della stessa Pubblica Amministrazione.
2.4.2.2. Consenso sì¶
Quando i contributi sono destinati a essere pubblicati su specifiche pagine web del portale della PA, magari anche con la previsione della collaborazione editoriale di giornalisti professionisti (es. una sezioni dedicata all’offerta di informazioni e alle interviste a soggetti esterni), oppure quando la PA intende pubblicare lavori o iniziative realizzate per finalità istituzionali, il portale posto in essere dalla PA potrebbe configurarsi quale “piattaforma” realizzata per essere messa a disposizione dei cittadini per la propria (e libera) manifestazione del pensiero, avvicinandosi, per certi aspetti, alla definizione di “prodotto editoriale” – contenuta nell’art. 1, comma 1, della legge 7/3/2001, n. 62 – priva tuttavia di qualsiasi caratteristica di sfruttamento di tipo economico.
In questi casi, la “piattaforma web” dovrebbe essere configurata come strumento anche di tipo giornalistico, per consentire la manifestazione del pensiero di cittadini, famiglie e genitori e la PA dovrebbe assumere un ruolo di controllo di tipo “analogo” a quello che spetta a un editore/direttore responsabile.
Per tale motivo, ciascuna pubblica amministrazione interessata al perseguimento di un progetto con le citate caratteristiche potrebbe procedere alla pubblicazione di dati personali (foto, video ecc.) forniti in maniera facoltativa e volontaria dagli stessi soggetti interessati, sul portale web dedicato al progetto, solo previo rilascio di apposito consenso (art. 6, par. 1, lett. a, del GDPR), che deve possedere tutti i requisiti previsti dal GDPR.
Il trattamento dei dati sulla base del consenso comporta il diritto degli interessati di chiedere, in qualunque momento e senza condizioni, la rimozione dei dati pubblicati oppure di indicare specifiche modalità di diffusione dei propri dati (ad esempio chiedendo la pubblicazione di video o foto, ma con meccanismi di oscuramento del volto o di altre informazioni capaci di identificare i soggetti interessati).
Occorre, altresì, adottare misure e accorgimenti volti a impedire, in questi casi, che i dati pubblicati on line possano essere indicizzati dai comuni motori di ricerca (es. Google) e, conseguentemente, facilmente reperibili in rete.
Infine, nel rispetto del principio di «limitazione della conservazione» dei dati (art. 5, par. 1, lett. e), del GDPR), è necessario prevedere un tempo di conservazione dei dati personali proporzionato e «non superiore al conseguimento delle finalità per le quali sono trattati» corrispondenti alla durata del progetto. Periodi più lunghi di conservazione dei dati personali potranno essere previsti, ma solo “a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, [del GDPR] fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”.
2.4.3. Le basi del sito web: architettura, informativa privacy, riferimenti DPO¶
L’architettura di un sito o servizio digitale è privacy oriented e tiene in considerazione:
la presenza di tracker (Google Webfont o relativi a social network) che comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione;
l’utilizzo di social plug in, che presentano diversi gradi di invasività;
le modalità di autenticazione (minimizzazione dei dati raccolti attraverso l’autenticazione SPID, social log in);
la presenza di cookie e tracker.
L’informativa sul trattamento dei dati personali deve essere reperibile sul sito e specifica per i singoli servizi offerti che comportano raccolta di dati personali
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del GDPR) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del GDPR). Fornisci, quindi, al momento della raccolta dei dati personali il link all’informativa o, in alternativa, metti a disposizione le informazioni sul trattamento dei dati sulla stessa pagina in cui raccogli i dati personali.
Il link all’informativa dovrebbe essere visibile su ogni pagina del sito tramite una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”).
Ricorda, inoltre, che le informazioni sul trattamento dei dati personali fornite agli utenti devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché formulate con un linguaggio semplice e chiaro, specialmente nel caso di informazioni destinate ai minori (articolo 12 del GDPR): ciò significa che devi fare in modo che i destinatari del tuo sito o servizio riescano sempre a fruire e comprendere l’informativa.
Se offri il servizio tramite applicazione mobile, metti a disposizione l’informativa (specifica per il servizio tramite APP) presso gli store prima del download e rendi sempre accessibile l’accesso all’informativa anche una volta che è stata installata (ad esempio includendo un’opzione “Privacy”/”Protezione dei dati” nella funzione di menù dell’app).
Per un’informativa chiara, utilizza le icone vincitrici del contest ”Informative chiare” lanciato del Garante Privacy.
Per approfondire consulta le Linee guida sulla trasparenza ai sensi del regolamento 2016/679 adottate dal “Gruppo di lavoro articolo 29” il 29 novembre 2017 e modificate l’11 aprile 2018, WP260 rev.01, fatte proprie dal Comitato europeo per la protezione dei dati con “Endorsement 1/2018” del 25 maggio 2018.
Il sito contiene i dati di riferimento del Responsabile per la Protezione dei Dati
La designazione di un Responsabile per la Protezione dei Dati è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39 GDPR) ed è obbligatoria quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (articolo 37 GDPR).
Controlla quindi che i dati di contatto del RPD/DPO siano contenuti all’interno dell’informativa pubblicata sul sito. Come chiarito dal Garante per la protezione dei dati personali nel parere espresso sulle Linee guida di design per i siti internet e i servizi digitali della PA:
la pubblicazione di tali dati di contatto deve essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti;
non è necessario che, tra i dati oggetto di pubblicazione, vi sia anche il nominativo del RPD, non essendo questa informazione indispensabile a fini di contatto da parte di chiunque sia interessato: al contrario, risulta imprescindibile che tra i dati di contatto vi sia quantomeno un indirizzo di posta elettronica ordinaria (e, eventualmente, un indirizzo di posta elettronica certificata).
Puoi approfondire l’argomento tramite la pagina informativa ufficiale predisposta dal Garante per la protezione dei dati personali.