La materia di cui in oggetto vede la convergenza di una serie di norme che richiedono un loro coordinamento, al fine di evitare il crearsi di possibili disallineamenti; di seguito si riporta, senza alcuna pretesa di esaustività, un elenco delle relative norme.

Privacy e gestione dei dati

I siti e i servizi devono richiedere e tracciare soltanto le informazioni strettamente necessarie degli utenti e presentare le relative informative privacy e cookie:

• Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 del Garante per la protezione dei dati personali[1]
• Normativa GDPR (Artt. 13 e 14, Reg. UE n. 679/2016)
• Linee guida di design per i siti internet e i servizi digitali della PA – 4.2. Affidabilità, trasparenza e sicurezza
• Codice dell’Amministrazione Digitale (CAD) – Capo V: DATI DELLE PUBBLICHE AMMINISTRAZIONI (IDENTITÀ DIGITALI, ISTANZE E SERVIZI ON-LINE)

Trasparenza

Considerato che la trasparenza viene definita dal legislatore come “accessibilità totale dei dati e documenti detenuti dalle P.A.”: tutte le informazioni detenute dall’ente sono potenzialmente accessibili (regola di carattere generale), mentre quelle sottratte alla conoscibilità generalizzata sono solo quelle individuate dal legislatore (eccezione), di conseguenza, i siti devono presentare, in un’unica sezione, tutte le informazioni sulle attività dell’amministrazione:

 Amministrazione trasparente (Decreto legislativo 14 marzo 2013, n. 33)

Progettazione dei siti

I siti e servizi, inclusi i contenuti e i documenti, devono raggiungere il livello AA delle WCAG 2.1 e presentare una dichiarazione di accessibilità:

 Linee guida sull’accessibilità degli strumenti informatici – 2.2. Web

 Linee guida di design per i siti internet e i servizi digitali della PA – 2.3. Documenti non web

 Linee guida di design per i siti internet e i servizi digitali della PA – 4. Dichiarazione di accessibilità e pubblicazione obiettivi di accessibilità

 Linee guida AGID per la dichiarazione di accessibilità

 Linee guida di design per i siti internet e i servizi digitali della PA – 4.3. Semplicità di consultazione ed esperienza d’uso

 Linee guida di design per i siti internet e i servizi digitali della PA – 4.4. Monitoraggio dei servizi

I siti e servizi devono prevedere un’esperienza d’uso comune alle diverse procedure on line, garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti e consentire agli utenti di effettuare i pagamenti online mediante gli strumenti di pagamento previsti dal CAD:

 Linee guida di design per i siti internet e i servizi digitali della PA – 4.6. Integrazione delle piattaforme abilitanti

 Codice dell’Amministrazione Digitale (CAD) – Art. 5 Effettuazione di pagamenti con modalità informatiche

 Codice dell’Amministrazione Digitale (CAD) – Art. 64 Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni

Implementazione dei siti

I contenuti di siti e servizi devono essere associati a una licenza aperta:

 Linee guida di design per i siti internet e i servizi digitali della PA – 4.7. Licenze

Le pubbliche amministrazioni titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze:

 Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni – 3.5.2 Licenze per il software aperto

 Codice dell’Amministrazione Digitale – Art. 69 Riuso delle soluzioni e standard aperti[2]

 Linee guida AGID per l’acquisizione e il riuso software PA

 Art. 52 d.lgs. 82/2005 del CAD[3]

 Art. 7, comma 1, D.Lgs. n. 33/2013[4]

 D.lgs. n. 36/2006[5]

In base al principio del once-only, il sito e i servizi non dovrebbero chiedere agli utenti informazioni già fornite, ma riutilizzare internamente le informazioni già comunicate dall’utente attraverso l’integrazione con le piattaforme previste: 

 Linee guida per accesso telematico ai servizi della Pubblica Amministrazione – 5.2. Obiettivi di semplificazione e principio di “once-only” e “mobile-first”

 Linee guida di design per i siti internet e i servizi digitali della PA – 4.6. Integrazione delle piattaforme abilitanti

 Codice dell’Amministrazione Digitale (CAD) – Art. 64 Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni[6]

 Codice dell’Amministrazione Digitale (CAD) – Art. 73 Sistema pubblico di connettività (SPC)

 Piano Triennale per l’informatica nella PA – Capitolo 5, Interoperabilità

Premesso che il sito web di una azienda sanitaria deve garantire:

a. una precisa organizzazione delle informazioni pubblicate;

b. una specifica dei metodi di navigazione;

c. il ricorso ad una terminologia in linea con gli standard di settore;

il tutto al fine di facilitare l’accesso intuitivo ai contenuti e il completamento di compiti da parte degli utenti.

Si porta a conoscenza che AGID ha pubblicato un modello per realizzare i siti delle ASL, nel pieno rispetto

della normativa vigente ed aderenza alle linee guida nazionali.[7] Il modello proposto tiene conto anche dello standard europeo di comparazione della qualità dei servizi digitali erogati dalle pubbliche amministrazioni, focalizzandosi su due aspetti:

1. Centralità dell’utente, al fine di consentirgli di:

– potere fruire di un servizio, anche, da dispositivi mobili;

– lasciare feedback; a tale riguardo si precisa che il sito di una ASL deve permettere ai cittadini di valutare la chiarezza informativa delle pagine e questa funzionalità deve essere presente su ogni pagina del sito, prima del footer (è la sezione che si trova al fondo di ogni pagina).

– richiedere assistenza on line.

2. Trasparenza, nel senso di consentire al navigatore di potere trovare informazioni chiare sui seguenti aspetti:

– responsabilità delle Aziende Sanitarie;

– processi di erogazione dei servizi;

– trattamento dei dati personali.

 

---

[1] Il quadro giuridico di riferimento è infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (di seguito Codice), quanto dal Regolamento, per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020. In proposito il Garante, come è noto, ha già adottato un provvedimento (n. 229, dell’8 maggio 2014), volto ad “individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati”, come pure a “fornire idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge”, le cui indicazioni necessitano ora di essere integrate e precisate, in particolare con riferimento a taluni, specifici aspetti (al fine di agevolare i titolari del trattamento nella corretta applicazione del citato quadro regolamentare come specificato dal richiamato provvedimento del maggio 2014 e dalle presenti Linee guida, si allega a queste ultime una tabella riassuntiva delle indicazioni contenute in entrambi i provvedimenti).

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876

[2] Art. 69. Riuso delle soluzioni e standard aperti

1. Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali.

2. Al fine di favorire il riuso dei programmi informatici di proprietà delle pubbliche amministrazioni, ai sensi del comma 1, nei capitolati o nelle specifiche di progetto è previsto, salvo che ciò risulti eccessivamente oneroso per comprovate ragioni di carattere tecnico-economico, che l’amministrazione committente sia sempre titolare di tutti i diritti sui programmi e i servizi delle tecnologie dell’informazione e della comunicazione, appositamente sviluppati per essa.

2-bis. Al medesimo fine di cui al comma 2, il codice sorgente, la documentazione e la relativa descrizione tecnico funzionale di tutte le soluzioni informatiche di cui al comma 1 sono pubblicati attraverso una o più piattaforme individuate dall’AgID con proprie Linee guida.

[3] Art. 52. Accesso telematico e riutilizzo dei dati

1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

2. I dati e i documenti che i soggetti di cui all’articolo 2, comma 2, pubblicano, con qualsiasi modalità, senza l’espressa adozione di una licenza di cui all’articolo 2, comma 1, lettera h), del decreto legislativo 24 gennaio 2006, n. 36, si intendono rilasciati come dati di tipo aperto ai sensi all’articolo 1, comma 1, lettere l-bis) e l-ter), del presente Codice, ad eccezione dei casi in cui la pubblicazione riguardi dati personali del presente Codice. PERIODO SOPPRESSO DAL D.LGS. 13 DICEMBRE 2017, N. 217.

3. Nella definizione dei capitolati o degli schemi dei contratti di appalto relativi a prodotti e servizi che comportino la formazione, la raccolta e la gestione di dati, i soggetti di cui all’articolo 2, comma 2, prevedono clausole idonee a consentirne l’utilizzazione in conformità a quanto previsto dall’articolo 50.

4. Le attività volte a garantire l’accesso telematico e il riutilizzo dei dati delle pubbliche amministrazioni rientrano tra i parametri di valutazione della performance dirigenziale.

5. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217.

6. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217.

7. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217.

8. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

9. L’Agenzia svolge le attività indicate dal presente articolo con le risorse umane, strumentali, e finanziarie previste a legislazione vigente. (19)

AGGIORNAMENTO (19) Il D.L. 18 ottobre 2012, n. 179, convertito con modificazioni dalla L. 17 dicembre 2012, n. 221, ha disposto (con l’art. 9, comma 3) che «In sede di prima applicazione, i regolamenti di cui all’articolo 52, comma 1, del citato decreto legislativo n. 82 del 2005, come sostituito dal comma 1 del presente articolo, sono pubblicati entro 120 giorni dalla data di entrata in vigore della legge di conversione del presente decreto-legge. Con riferimento ai documenti e ai dati già pubblicati, la disposizione di cui all’articolo 52, comma 2, del citato decreto legislativo n. 82 del 2005, trova applicazione entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto.»

[4] Art. 7 Dati aperti e riutilizzo

1. I documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria ai sensi della normativa vigente, resi disponibili anche a seguito dell’accesso civico di cui all’articolo 5, sono pubblicati in formato di tipo aperto ai sensi dell’articolo 68 del Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e sono riutilizzabili ai sensi del decreto legislativo 24 gennaio 2006, n. 36, del decreto legislativo 7 marzo 2005, n. 82, e del decreto legislativo 30 giugno 2003, n. 196, senza ulteriori restrizioni diverse dall’obbligo di citare la fonte e di rispettarne l’integrità.

[5] DECRETO LEGISLATIVO 24 gennaio 2006, n. 36 ((Attuazione della direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico che ha abrogato la direttiva 2003/98/CE))note: Entrata in vigore del provvedimento: 1/3/2006

[6] Art. 64. Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni

1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

2. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

2-bis. Per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia digitale, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID). (28)

2-ter. Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano gli utenti per consentire loro l’accesso ai servizi in rete.

2-quater. L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID. Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies. Resta fermo quanto previsto dall’articolo 3-bis, comma 01.

2-quinquies. Ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta ai soggetti privati, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti. L’adesione al sistema SPID per la verifica dell’accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell’utente esonera i predetti soggetti da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

2-sexies. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l’innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con riferimento:

a) al modello architetturale e organizzativo del sistema;

b) alle modalità e ai requisiti necessari per l’accreditamento dei gestori dell’identità digitale;

c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l’interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell’identità digitale nei riguardi di cittadini e imprese; (28)

d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete; (28)

e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete;

f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete.

2-septies. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217.

2-octies. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217. 2-nonies. L’accesso di cui al comma 2-quater può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi.

2-decies. Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati.

3. COMMA ABROGATO DAL D.LGS. 30 DICEMBRE 2010, N. 235. (11)

3-bis. Con decreto del Presidente del Consiglio dei ministri o del Ministro per la semplificazione e la pubblica amministrazione, è stabilità la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, utilizzano esclusivamente le identità digitali ai fini dell’identificazione degli utenti dei propri servizi on-line.

AGGIORNAMENTO (11) Il D.L. 29 dicembre 2010, n. 225, convertito con modificazioni dalla L. 26 febbraio 2011, n. 10, ha disposto (con l’art. 1, comma 1), in relazione al comma 3 del presente articolo, che «È fissato al 31 marzo 2011 il termine di scadenza dei termini e dei regimi giuridici indicati nella tabella 1 allegata con scadenza in data anteriore al 15 marzo 2011».

AGGIORNAMENTO (28) Il D.Lgs. 26 agosto 2016, n. 179 ha disposto (con l’art. 61, comma 2, lettera d)) che l’espressione «cittadini e imprese», ovunque ricorra, si intende come «soggetti giuridici»

[7] Link: https://designers.italia.it/community/notizie/20240201-disponibile-il-modello-di-sito-informativo-per-le-aziende-sanitarie-locali/