Linee guida dei siti web delle pubbliche amministrazioni del

Ministro per la pubblica amministrazione e l'innovazione - 7

luglio 2011 [1826713]

[doc. web n. 1826713]

Linee guida dei siti web delle pubbliche amministrazioni del Ministro per la pubblica
amministrazione e l´innovazione - 7 luglio 2011

Registro dei provvedimenti

n. 282 del 7 luglio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti
e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri-Dipartimento della funzione
pubblica;

Visto l´art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno
2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del
regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri ha richiesto il
parere del Garante in ordine a una versione preliminare – sottoposta a consultazione pubblica –
delle "linee guida dei siti web delle pubbliche amministrazioni del Ministro per la pubblica
amministrazione e l´innovazione".

Il provvedimento in esame è adottato ai sensi dell´articolo 4 della direttiva n. 8 del 2009 del
Ministro per la pubblica amministrazione e l´innovazione "per la riduzione dei siti web delle
pubbliche amministrazioni e per il miglioramento della qualità dei servizi e delle informazioni on-
line al cittadino" e comprende "i criteri e gli strumenti per assicurare la riduzione dei siti pubblici
obsoleti ed il miglioramento di quelli attivi in termini di: 1) principi generali; 2) gestione ed
aggiornamenti; 3) contenuti minimi".

Le linee guida si indirizzano a tutte le amministrazioni pubbliche di cui all´articolo 1, comma 2, del
decreto legislativo 30 marzo 2001, n. 165 e sono articolate in diverse sezioni, contenenti anche
disposizioni di notevole rilievo ai fini della protezione dei dati personali trattati dalle pubbliche
amministrazioni.

RILEVATO

1. Policy dei siti web.

Al § 4.7., nell´enunciare i criteri fondamentali cui deve attenersi la gestione del sito web di
ciascuna pubblica amministrazione, da esplicitare in apposita informativa anche in
riferimento al trattamento dei dati personali, le linee guida dedicano apposite sezioni, fra
l´altro, ai dati di navigazione, ai dati forniti volontariamente dall´utente e ai cookies.

Al riguardo si svolgono le seguenti osservazioni.

1.1. Dati di navigazione.

Si tratta di "informazioni che non sono raccolte per essere associate a interessati identificati"
ma che tuttavia mediante l´associazione con altri dati potrebbero consentire l´identificazione
degli utenti (es.: indirizzi IP o nomi a dominio dei computer utilizzati dagli utenti che si
connettono al sito). Si prevede che tali dati possano essere utilizzati solo per elaborare
statistiche anonime e debbano essere cancellati immediatamente dopo tale elaborazione.

Data la delicatezza delle informazioni raccolte, si invitino le Amministrazioni destinatarie a

fissare – in maniera proporzionale alla finalità perseguita - dei termini di conservazione dei
dati di navigazione, scaduti i quali gli stessi dati devono essere cancellati o resi anonimi.

1.2. Dati forniti volontariamente dall´utente.

Una sezione ad hoc è riservata ai servizi web che prevedano l´invio facoltativo, esplicito e
volontario di posta elettronica a determinati indirizzi, secondo modalità che comportino poi
anche l´acquisizione dell´indirizzo del mittente, al fine di rispondere ad eventuali richieste,
nonché degli ulteriori dati personali eventualmente contenuti nella comunicazione. Nel
precisare il contenuto dell´avviso che in tali casi deve essere pubblicato sulla pagina web, si
fa riferimento all´esigenza di indicare "il trattamento di dati sensibili o giudiziari
eventualmente forniti dall´utente nel corpo della mail". Se, come sembra, con tale
espressione ci si intende riferire all´esigenza di informare – ai fini di cui all´articolo 13 del
Codice - l´utente della possibilità che – ovviamente nei casi e nei limiti di cui agli articoli 20,
21 e 22 del Codice - siano trattati i dati sensibili o giudiziari eventualmente da lui stesso
volontariamente forniti nel corpo del messaggio, sarebbe opportuno rendere più esplicito il
testo sul punto, al fine di evitare ogni dubbio in sede applicativa.

1.3. Uso dei cookies.

Le linee guida vietano l´uso di cookies persistenti "di alcun tipo", salvo poi "riammetterlo"
per soli fini di acquisizione di dati statistici di accesso al sito, per mantenere le preferenze
dell´utente riguardo a lingua, layout del sito, ecc... Al riguardo è opportuno precisare che
l´uso dei cookies persistenti è ammissibile unicamente qualora esso sia necessario alla resa
di un servizio che rientri nelle funzioni istituzionali dell´amministrazione.

2. Reperibilità sul web degli indirizzi di posta elettronica istituzionali.

Nella sezione relativa alle "caselle di posta elettronica e posta elettronica certificata" la
Appendice alle linee guida prescrive la pubblicazione, nei siti istituzionali delle pubbliche
amministrazioni, dell´elenco delle caselle di posta elettronica attive. Al fine di evitare che
tale elenco – come spesso accade - sia utilizzato al fine di inviare, alle caselle di posta
elettronica del personale o degli uffici, messaggi per finalità estranee alle funzioni
istituzionali dell´ente, è opportuno precisare nello schema che il suddetto elenco deve
essere sottratto all´indicizzazione da parte di motori di ricerca generalisti e che la sua
pubblicazione deve essere accompagnata da un avviso su tali limitazioni d´uso.

3.Normativa di riferimento.

3.1. Nel richiamare, all´interno del § 1.1.4., la normativa di riferimento in materia di "privacy",
l´odierno provvedimento cita taluni provvedimenti che avrebbero "aggiornato" le "prescrizioni
contenute nel Codice della privacy". Al riguardo, si osserva che se, come sembra, il
riferimento deve intendersi a norme di legge modificative o integrative del Codice, queste
ultime non si esauriscono in quelle elencate (si pensi, ad esempio, alla legge 4 novembre
2010, n. 183, che ha novellato l´articolo 19 del Codice proprio in relazione all´accessibilità
dei dati relativi agli addetti a pubbliche funzioni). Inoltre, valuti l´Amministrazione se
richiamare a parte le Linee guida emanate dal Garante in data 2 marzo 2011,
opportunamente citate, che non hanno evidentemente forza di legge.

3.2. Nell´enunciare i parametri normativi e provvedimentali cui le pubbliche amministrazioni

devono attenersi nella selezione dei contenuti indefettibili dei propri siti istituzionali, mentre
correttamente si cita la delibera CiVIT n. 105/2010, l´Appendice alle linee guida, nell´ambito
della sezione relativa alla "trasparenza, valutazione e merito", non richiama invece le linee
guida emanate dal Garante in data 2 marzo 2011, in materia di "trattamento di dati personali
contenuti anche in atti e documenti amministrativi, effettuato anche da soggetti pubblici per
finalità di pubblicazione e diffusione sul web", che contengono invece prescrizioni specifiche,
segnatamente in ordine alle modalità di pubblicazione on-line di dati personali da parte di
soggetti pubblici. E´ quindi opportuno integrare in tal senso la suddetta sezione
dell´Appendice.

IL GARANTE

esprime parere favorevole sullo schema di "linee guida dei siti web delle pubbliche
amministrazioni" del Ministro per la pubblica amministrazione e l´innovazione, con le
seguenti osservazioni:

a) al § 4.7, in relazione ai dati di navigazione, si invitino le Amministrazioni destinatarie

a fissare – in maniera proporzionale alla finalità perseguita - dei termini di
conservazione dei dati di navigazione, scaduti i quali gli stessi dati devono essere
cancellati o resi anonimi (punto 1.1);

b) al § 4.7 si chiarisca se, con il riferimento all´indicazione del "trattamento di dati

sensibili o giudiziari eventualmente forniti dall´utente nel corpo della mail", ci si intenda
riferire all´esigenza di informare – ai sensi dell´articolo 13 del Codice - l´utente della
possibilità che siano trattati i dati sensibili o giudiziari da lui stesso volontariamente
forniti (punto 1.2);

c) al § 4.7, relativamente ai cookies, si precisi che l´uso dei cookies persistenti è

ammissibile unicamente qualora esso sia necessario alla resa di un servizio che rientri
nelle funzioni istituzionali dell´amministrazione (punto 1.3);

d) nella sezione relativa alle "caselle di posta elettronica e posta elettronica certificata"
dell´Appendice alle linee guida, sia precisato che l´elenco degli indirizzi e-mail
istituzionali del personale e degli uffici deve essere sottratto all´indicizzazione da parte
di motori di ricerca generalisti e deve essere resa un´informativa sulle finalità della
 pubblicazione dell´elenco e sulle conseguenti limitazioni d´uso (punto 2);

e) in relazione al § 1.1.4., valuti l´Amministrazione l´opportunità di completare

l´elencazione delle novelle al Codice, collocando in una sezione distinta il riferimento
alle Linee guida emanate dal Garante in data 2 marzo 2011, in materia di "trattamento
di dati personali contenuti anche in atti e documenti amministrativi, effettuato anche da
soggetti pubblici per finalità di pubblicazione e diffusione sul web" (punto 3.1); valuti
altresì l´Amministrazione l´opportunità di integrare la sezione relativa alla
"trasparenza, valutazione e merito" dell´Appendice con il riferimento alle predette linee
guida emanate dal Garante in data 2 marzo 2011 (punto 3.2).

Roma, 7 luglio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli