Inadempienze siti web. L’importanza della pubblicità legale e della pubblicità notizia. IMPORTANTE PER la misura 1.4.1 PNRR.

NOTA : SEGUITE BENE per non perdere i SOLDI della MISURA 1.4.1 PNRR

Il 27 luglio l’AGID con determina 224/22 ha emanato le LLGG di design e servizi digitali della PA.

Le norme toccate dalle LLGG sono:

CAD

Decreto legislativo 7 marzo 2005, n. 82 e s.m.i. recante «Codice dell’amministrazione digitale».

Reg. UE eIDAS

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

Codice privacy

Decreto legislativo 30 giugno 2003, n. 196 e s.m.i. recante «Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».

GDPR

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

D. Lgs. 33/2013

Decreto legislativo 14 marzo 2013, n. 33 e s.m.i. recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».

L. 4/2004

Legge 9 gennaio 2004, n. 4 e s.m.i. recante «Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici».

Direttiva (UE) 2016/2102

Direttiva (UE) 2016/2102 del 26 ottobre 2016 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici.

Circolare AGID 2/2017

Circolare AGID 18 aprile 2017, n. 2 in sostituzione della Circolare 17 marzo 2017, n. 1 recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)».

GPDP 229/2014

Provvedimento del Garante per la protezione dei dati personali n. 229 in data 8 maggio 2014 recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie».

GPDP 243/2014

Provvedimento del Garante per la protezione dei dati personali n. 243 in data 15 maggio 2014 recante «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati».

EDPB LG DPIA

«Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679» (WP 248 rev.01), come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017.

EDPB LG ART. 25

«Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita», adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020.

EDPB LG 7/2020

«Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021.

GPDP 186/2021

Provvedimento del Garante per la protezione dei dati personali n. 186 in data 29 aprile 2021 recante «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico».

GPDP LG COOKIE

«Linee guida cookie e altri strumenti di tracciamento» emesse dal Garante per la protezione dei dati personali in data 10 giugno 2021.

LG_ACCESS

Linee guida AGID sull’accessibilità degli strumenti informatici, adottate da AGID con Determinazione n. 396 in data 8 settembre 2020.

LG_RIUSO

Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni, adottate da AGID con Determinazione n. 115/2019 del 9 maggio 2019.

LG_INTEROP

Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni, adottate da AGID con Determinazione n. 547 del 1° ottobre 2021.

Direttiva (UE) 2016/1148

Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

D.Lgs. 65/2018

Decreto legislativo 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

LG_DOC

Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, adottate da AGID, come modificate con Determinazione n. 371 in data 17 maggio 2021.

LG_PAT

Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico, già adottate da AgID nel 2017 e in corso di aggiornamento ai sensi dell’art. 71 del CAD.

Importante ricordare che cassano le precedenti “Linee guida per i siti web delle PA” previste dall’art. 4 della Direttiva del Ministro per la Pubblica Amministrazione e l’innovazione 26 novembre 2009, n. 8, per intenderci la norma grande assente, quella che imponeva nel footer dei portali istituzionali il responsabile della pubblicazione.

Da questo momento in poi occorre prendere dimestichezza con il lessico delle norme ISO/IEC Directives, Part 3, infatti nelle note di lettura delle LLGG troviamo …

“Conformemente alle norme ISO/IEC Directives, Part 3 per la stesura dei documenti tecnici, le presenti linee guida utilizzeranno le seguenti parole chiave e relativa interpretazione:

DEVE o DEVONO, indicano un requisito obbligatorio per rispettare la linea guida.

NON DEVE o NON DEVONO o NON PUÒ o NON POSSONO, indicano un assoluto divieto delle specifiche;

DOVREBBE o NON DOVREBBE, indicano che le implicazioni devono essere comprese e attentamente pesate prima di scegliere approcci alternativi;

PUÒ o POSSONO o l’aggettivo OPZIONALE, indica che il lettore può scegliere di applicare o meno senza alcun tipo di implicazione la specifica.”

IL CAPITOLO 4 delle LLGG è diviso in 8 paragrafi, i REQUISITI da soddisfare.

Ogni requisito è valorizzato dalla finalità e dalle azioni previste con richiamo alle norme ISO/IEC Directives, Part 3.

Vediamo velocemente cosa fare e poi vi manderò le consuete griglie di controllo e PRE-AUDIT.

4.1. Accessibilità

Finalità: rendere accessibili a tutti gli utenti il contenuto, la struttura e il comportamento degli strumenti informatici, secondo i requisiti di legge.

  • Azioni richieste:
    • DEVE essere garantito il rispetto dei dettami della L. 4/2004 e s.m.i. e delle correlate «Linee guida sull’accessibilità degli strumenti informatici», emanate da AGID con Determinazione n. 396 in data 8 settembre 2020.

4.2. Affidabilità, trasparenza e sicurezza

Finalità: progettare e sviluppare servizi digitali che garantiscano la trasparenza delle informazioni e la sicurezza, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali.

  • Azioni richieste:
    • DEVE essere garantita la protezione dei dati personali nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR e delle Line guida del Comitato europeo per la protezione dei dati nelle «Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita» adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020;
    • DEVE essere rispettato almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento, fermo restando – in ogni caso e al fine di una effettiva protezione dei dati personali – che DEVE sempre essere effettuata la necessaria e puntuale valutazione in merito a quanto stabilito agli artt. 5, par. 1, lett. f) e 32 del GDPR;
    • DEVONO essere poste in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR;
    • prima di procedere al trattamento, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, DEVE essere effettuata, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e, al ricorrere delle condizioni previste dall’art. 36 del GDPR, DEVE essere altresì consultato il Garante per la protezione dei dati personali, anche alla luce delle «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017;
    • DEVE essere pubblicata, sul singolo sito, l’informativa sul trattamento dei dati personali e, laddove individuato quale base giuridica del trattamento, altresì richiesto il consenso eventualmente anche con riferimento all’uso dei c.d. cookie;
    • DEVONO essere rese agli utenti, sul trattamento dei loro dati personali, informazioni concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori, nel rispetto dell’art. 12 del GDPR;
    • DOVREBBE essere chiaramente visibile, su ogni pagina del sito, un link diretto all’informativa sul trattamento dei dati personali che riporti una dicitura di uso comune (come «Privacy», «Informativa sulla privacy» o «Informativa sulla protezione dei dati»);
    • DEVE essere fornito, al momento della raccolta dei dati personali in ambiente online, il link all’informativa sul trattamento dei dati personali o, in alternativa, DEVONO essere messe a disposizione le informazioni sul trattamento dei dati sulla stessa pagina in cui sono raccolti i dati personali;
    • qualora i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, DEVE essere possibile ai relativi utenti fruire effettivamente dei contenuti dell’informativa sul trattamento dei dati personali;
    • qualora i siti web o i servizi digitali siano specificamente indirizzati ai minori d’età, l’informativa da rendere agli interessati DEVE essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti;
    • qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), le necessarie informazioni sul trattamento dei dati personali DEVONO riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente e DEVONO essere messe a disposizione presso gli store delle app prima del download; una volta installata l’app, le informazioni DEVONO continuare a essere facilmente accessibili al suo interno, ad esempio garantendo che tali informazioni non siano mai a più di due «tocchi» di distanza includendo un’opzione «Privacy» o «Protezione dei dati» nella funzione di menù dell’app;
    • DEVONO essere pubblicati i dati di contatto del responsabile della protezione dei dati (RPD) che la PA è tenuta a designare, ai sensi dell’art. 37 del GDPR Regolamento; tali dati di contatto DEVONO essere pubblicati sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti, ai sensi del «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico» allegato al Provvedimento 29 aprile 2021, n. 186 emesso dal Garante per la protezione dei dati personali;
    • DEVE essere effettuata un’attenta valutazione in merito all’effettiva necessità di ricorrere all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla PA; tale valutazione DEVE riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice privacy, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, DEVONO avvenire nel rispetto degli artt. 44 e ss. del GDPR;
    • qualora nel sito web e nel servizio digitale siano utilizzati i c.d. cookie o altri strumenti di tracciamento, gli utenti DEVONO essere informati in merito all’impiego degli stessi, ai sensi degli artt. 12-13 del GDPR e 122 del Codice privacy, con le modalità illustrate nelle «Linee guida cookie e altri strumenti di tracciamento» del Garante per la protezione dei dati personali in data 10 giugno 2021, che integrano e precisano quanto illustrato nel precedente provvedimento recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie» in data 8 maggio 2014, n. 229, anche con riferimento all’eventuale consenso, ove necessario; anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate, DEVE essere assicurata, in ogni caso, la piena fruibilità del sito web o del servizio digitale;
    • qualora si intenda delegare a fornitori di servizi informatici (ad es. fornitori di servizi web, di servizi di hosting o cloud computing) alcune attività che comportino il trattamento di dati personali, DEVE esser fatto ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato; tali soggetti DEVONO essere nominati responsabili del trattamento ai sensi dell’art. 4, n. 8) del GDPR e nel rispetto di quanto richiesto all’art. 28 del GDPR; in particolare, DEVE individuarsi una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative di sicurezza, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento; PUÒ, inoltre, essere previsto che il responsabile possa ricorrere ad altro responsabile, individuando misure organizzative volte a garantire alla PA titolare del trattamento idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità; DOVREBBE essere previsto, infine, che, qualora tali fornitori di servizi siano stabiliti in Paesi terzi, DEVONO essere soddisfatte le condizioni previste dagli artt. 44 e ss. del GDPR ai fini della liceità del trasferimento dei dati personali in tali Paesi (anche ai sensi delle «Guidelines 07/2020 on the concepts of controller and processor in the GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021);
    • DEVONO inserirsi i trattamenti di dati personali effettuati mediante il sito web o il servizio online nel Registro dei trattamenti, ai sensi dell’art. 30 del GDPR.

4.3. Semplicità di consultazione ed esperienza d’uso

Finalità: progettare, realizzare e mantenere siti internet e servizi digitali utili e facili da usare, secondo una metodologia di progettazione centrata sull’utente.

  • Azioni richieste:
    • SI DEVE adottare un approccio progettuale orientato alle persone capace di coinvolgere, ascoltare e osservare gli utenti nelle fasi di analisi, ideazione, progettazione, sviluppo e manutenzione del sito/servizio in un’ottica di miglioramento continuo, secondo una logica iterativa, utilizzando ove possibile metodologie agile;
    • SI DEVONO definire e valutare in modo esplicito obiettivi, destinatari, processi e attori nella progettazione del sito/servizio;
    • SI DEVONO svolgere attività di ricerca con utenti, per definire e valutare in modo esplicito le caratteristiche e i bisogni delle persone rispetto allo specifico contesto d’uso per il quale si sta progettando il sito/servizio;
    • SI DEVONO mappare gli scenari d’uso e le funzionalità del sito/servizio dal punto di vista degli utenti per creare prototipi che verifichino la soluzione progettuale adottata e la sua usabilità;
    • SI DEVONO tenere presenti i risultati delle ricerche effettuate con utenti per la definizione dell’architettura dell’informazione;
    • SI DEVONO condurre test di usabilità per comprendere se i servizi digitali, esistenti o in fase di progettazione, corrispondano alle esigenze degli utenti;
    • SI DEVONO utilizzare ontologie e vocabolari controllati standard della Pubblica Amministrazione;
    • SI DEVE utilizzare un linguaggio e un’organizzazione dei contenuti adeguati all’utente destinatario;
    • SI DEVE rendere facilmente trovabile, mediante motori di ricerca esterni (ove consentito dalle vigenti normative) e interni al sito, il contenuto pubblicato;
    • SI DOVREBBE pubblicare, su ogni pagina del sito internet, la data dell’ultimo aggiornamento o verifica del contenuto.

4.4. Monitoraggio dei servizi

Finalità: analizzare e migliorare l’esperienza d’uso dei siti/servizi digitali mediante la rilevazione qualitativa e quantitativa dei dati di fruizione.

zioni richieste:

  • SI DEVONO effettuare la raccolta e l’analisi statistica del traffico e del comportamento utente rispetto all’accesso e utilizzo di siti e servizi digitali;
  • SI DEVONO pubblicare le informazioni, opportunamente aggregate e anonimizzate, derivanti dal monitoraggio statistico attivato sul singolo sito e/o servizio;
  • SI DOVREBBE adottare la piattaforma Web Analytics Italia (WAI), avendo cura di informarne adeguatamente gli utenti ai sensi degli artt. 12 e 13 del GDPR e 122 del Codice privacy e assicurando il rispetto di quanto previsto nelle richiamate «Linee guida cookie e altri strumenti di tracciamento» emanate dal Garante per la protezione dei dati personali;
  • SI DEVE consentire agli utenti di comunicare facilmente all’amministrazione il livello di soddisfazione ed eventuali difficoltà riscontrate, rispetto alla qualità dell’informazione e dei servizi on line;
  • SI DEVONO condurre attività di raccolta, analisi e valutazione dei feedback degli utenti relativi alla qualità percepita;
  • SI DOVREBBE condurre un’attività di manutenzione evolutiva dei siti internet e servizi digitali, facendo ricorso alle principali metodologie di testing e ricerca quantitativa e qualitativa.

4.5. Interfaccia utente

  • Finalità: mettere a disposizione interfacce utenti semplici da utilizzare.
  • Azioni richieste:
    • SI DEVONO utilizzare, ove disponibili, modelli di design realizzati per specifiche tipologie di siti internet e servizi digitali;
    • SI DEVONO realizzare, nell’ambito dello stesso sito internet o servizio digitale, interfacce coerenti nello stile e nell’esperienza d’uso, privilegiando le indicazioni e gli strumenti previsti su https://designers.italia.it;
    • SI DEVONO realizzare interfacce che si adattino al dispositivo dell’utente.

4.6. Integrazione delle piattaforme abilitanti

  • Finalità: prevedere un’esperienza d’uso comune alle diverse procedure on line.
  • Azioni richieste:
    • SI DEVE garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti dal CAD, nel rispetto del principio di minimizzazione di dati e assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati;
    • DEVE valutarsi la sussistenza di un’idonea base giuridica, ai sensi degli artt. 5, par. 1, lett. a) e 6 del GDPR e dell’art. 2-ter del Codice privacy, e di adeguate garanzie, ai sensi degli artt. 44 e ss. del GDPR, qualora si intenda utilizzare eventuali elementi di terze parti incorporati sui propri siti web (ad es. font tipografici, video player, social plug-in, ecc.), che possono comportare la comunicazione di dati personali a terzi e, in alcuni casi, anche il trasferimento dei dati personali in Paesi terzi;
    • SI DEVE consentire agli utenti di effettuare i pagamenti online mediante gli strumenti di pagamento previsti dal CAD.

4.7. Licenze

  • Finalità: privilegiare l’applicazione di una licenza aperta ai contenuti.
  • Azioni richieste:
    • SI DEVE associare ai contenuti una licenza aperta, ove non diversamente previsto dalla vigente normativa;
    • SI DEVE inserire il link alla licenza adottata riportando la versione aggiornata della stessa.

4.8. Attuazione

  • Finalità: assicurarsi che le attività di progettazione, sviluppo e manutenzione di siti e servizi digitali rispondano alle presenti linee guida.
  • Azioni richieste:
    • SI DEVE inserire la seguente dicitura all’interno della documentazione dei contratti pubblici concernenti l’affidamento di attività di progettazione, sviluppo e manutenzione di siti internet e servizi digitali: «Il fornitore incaricato deve rispettare le indicazioni riportate nelle Linee guida di design per i siti internet e i servizi digitali della PA».

Detto questo è evidente per i miei clienti un “quasi nulla di nuovo”, tuttavia ricordo che da questo momento in poi sarà obbligatorio utilizzare il protocollo eGLU e fare i TEST di usabilità oltre a quelli di accessibilità.

Attendete le mie nuove griglie e rivedete le linee guida sulla pubblicita’ legale dei siti web, ancora vigenti.

Consiglio anche un refresh sull’accessibilità

e sulle procedure di affidamento dei contratti ICT

COME SEMPRE RESTIAMO DISPONIBILI per il SUPPORTO e per i WORKSHOP

Vincenzo De Prisco cell 3389141276

dott.ssa Elisa Carotenuto cell. 3382797858

Print Friendly, PDF & Email