La Progettazione dei servizi declinata attraverso la realizzazione di siti web in linea con il Piano triennale AGID per l’informatica nella P.A., 2024-2026.
-
- 24 Marzo 2025
Premessa
Le «Linee guida per i siti web delle pubbliche amministrazioni», previste dall’art. 4 della Direttiva del Ministro per la Pubblica Amministrazione e l’innovazione 26 novembre 2009, n. 8, intendevano indicare alle PA:
• criteri e strumenti per la riduzione dei siti web pubblici obsoleti;
• strumenti di miglioramento dei siti attivi;
• modalità di gestione e aggiornamento dei contenuti web;
• i contenuti minimi.
A tal fine, le linee guida erano finalizzate a delineare gli aspetti fondamentali del processo di sviluppo progressivo di siti e servizi online e di offerta di informazioni di qualità rivolte al cittadino.
Linee guida di design per i siti internet e i servizi digitali della PA (2022)
Con l’evoluzione del contesto tecnologico e normativo, sia nazionale che europeo, si è reso necessario procedere a un adeguamento della metodologia e degli strumenti per la progettazione, realizzazione, gestione e monitoraggio dei servizi pubblici digitali.
La finalità delle Linee guida in commento è quella di: progettare e sviluppare servizi digitali che garantiscano la trasparenza delle informazioni e la sicurezza, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali; da raggiungersi attraverso le seguenti linee di azione:
DEVE essere garantita la protezione dei dati personali nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR e delle Line guida del Comitato europeo per la protezione dei dati nelle «Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita» adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020;
DEVE essere rispettato almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento, fermo restando- in ogni caso e al fine di una effettiva protezione dei dati personali- che DEVE sempre essere effettuata la necessaria e puntuale valutazione in merito a quanto stabilito agli artt. 5, par. 1, lett. f) e 32 del GDPR;
DEVONO essere poste in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR;– prima di procedere al trattamento, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche,
DEVE essere effettuata, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e, al ricorrere delle condizioni previste dall’art. 36 del GDPR, DEVE essere altresì consultato il Garante per la protezione dei dati personali, anche alla luce delle «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017;
DEVE essere pubblicata, sul singolo sito, l’informativa sul trattamento dei dati personali e, laddove individuato quale base giuridica del trattamento, altresì richiesto il consenso eventualmente anche con riferimento all’uso dei c.d. cookie;
DEVONO essere rese agli utenti, sul trattamento dei loro dati personali, informazioni concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori, nel rispetto dell’art. 12 del GDPR;
DOVREBBE essere chiaramente visibile, su ogni pagina del sito, un link diretto all’informativa sul trattamento dei dati personali che riporti una dicitura di uso comune (come «Privacy», «Informativa sulla privacy» o «Informativa sulla protezione dei dati»);
DEVE essere fornito, al momento della raccolta dei dati personali in ambiente online, il link all’informativa sul trattamento dei dati personali o, in alternativa, DEVONO essere messe a disposizione le informazioni sul trattamento dei dati sulla stessa pagina in cui sono raccolti i dati personali;
qualora i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, DEVE essere possibile ai relativi utenti fruire effettivamente dei contenuti dell’informativa sul trattamento dei dati personali;
qualora i siti web o i servizi digitali siano specificamente indirizzati ai minori d’età, l’informativa da rendere agli interessati DEVE essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti;
qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), le necessarie informazioni sul trattamento dei dati personali DEVONO riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente e DEVONO essere messe a disposizione presso gli store delle app prima del download; una volta installata l’app, le informazioni DEVONO continuare a essere facilmente accessibili al suo interno, ad esempio garantendo che tali informazioni non siano mai a più di due «tocchi» di distanza includendo un’opzione «Privacy» o «Protezione dei dati» nella funzione di menù dell’app;
DEVONO essere pubblicati i dati di contatto del responsabile della protezione dei dati (RPD) che la PA è tenuta a designare, ai sensi dell’art. 37 del GDPR Regolamento; tali dati di contatto DEVONO essere pubblicati sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti, ai sensi del «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico» allegato al Provvedimento 29 aprile 2021, n. 186 emesso dal Garante per la protezione dei dati personali;
DEVE essere effettuata un’attenta valutazione in merito all’effettiva necessità di ricorrere all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla PA; tale valutazione DEVE riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice privacy, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, DEVONO avvenire nel rispetto degli artt. 44 e ss. del GDPR;
qualora nel sito web e nel servizio digitale siano utilizzati i c.d. cookie o altri strumenti di tracciamento, gli utenti DEVONO essere informati in merito all’impiego degli stessi, ai sensi degli artt. 12-13 del GDPR e 122 del Codice privacy, con le modalità illustrate nelle «Linee guida cookie e altri strumenti di tracciamento» del Garante per la protezione dei dati personali in data 10 giugno 2021, che integrano e precisano quanto illustrato nel precedente provvedimento recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie» in data 8 maggio 2014, n. 229, anche con riferimento all’eventuale consenso, ove necessario; anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate, DEVE essere assicurata, in ogni caso, la piena fruibilità del sito web o del servizio digitale;
qualora si intenda delegare a fornitori di servizi informatici (ad es. fornitori di servizi web, di servizi di hosting o cloud computing) alcune attività che comportino il trattamento di dati personali, DEVE esser fatto ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato; tali soggetti DEVONO essere nominati responsabili del trattamento ai sensi dell’art. 4, n. 8) del GDPR e nel rispetto di quanto richiesto all’art. 28 del GDPR; in particolare, DEVE individuarsi una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative di sicurezza, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento;
PUÒ, inoltre, essere previsto che il responsabile possa ricorrere ad altro responsabile, individuando misure organizzative volte a garantire alla PA titolare del trattamento idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità;
DOVREBBE essere previsto, infine, che, qualora tali fornitori di servizi siano stabiliti in Paesi terzi, DEVONO essere soddisfatte le condizioni previste dagli artt. 44 e ss. del GDPR ai fini della liceità del trasferimento dei dati personali in tali Paesi[1];
– DEVONO inserirsi i trattamenti di dati personali effettuati mediante il sito web o il servizio online nel Registro dei trattamenti, ai sensi dell’art. 30 del GDPR.
Progettazione dei servizi: accessibilità e design.
Il miglioramento della qualità e dell’inclusività dei servizi pubblici digitali costituisce la premessa indispensabile per l’incremento del loro utilizzo da parte degli utenti, siano questi cittadini, imprese o altre pubbliche amministrazioni. Nell’attuale processo di trasformazione digitale è essenziale che i servizi abbiano un chiaro valore per l’utente. Questo obiettivo richiede un approccio multidisciplinare nell’adozione di metodologie e tecniche interoperabili per la progettazione di un servizio. La qualità finale, così come il costo complessivo del servizio, non può infatti prescindere da un’attenta analisi dei molteplici layer, tecnologici e organizzativi interni, che strutturano l’intero processo della prestazione erogata, celandone la complessità sottostante.
Ciò implica anche la necessità di un’adeguata semplificazione dei procedimenti e un approccio sistematico alla gestione dei processi interni, sotto il coordinamento del Responsabile per la transizione digitale, dotato di un ufficio opportunamente strutturato e con il fondamentale coinvolgimento delle altre strutture responsabili dell’organizzazione e del controllo strategico. È cruciale, inoltre, il rispetto degli obblighi del CAD in materia di progettazione, accessibilità, privacy, gestione dei dati e riuso, al fine di massimizzare l’efficienza dell’investimento di denaro pubblico e garantire la sovranità digitale con soluzioni software strategiche sotto il completo controllo della Pubblica Amministrazione.
Occorre quindi agire su più livelli e migliorare la capacità delle pubbliche amministrazioni di generare ed erogare servizi di qualità attraverso:
• l’adozione di modelli e strumenti validati e a disposizione di tutti;
• il costante monitoraggio da parte delle PA dei propri servizi online;
• l’incremento del livello di accessibilità dei servizi erogati tramite siti web e app mobile;
• lo scambio di buone pratiche tra le diverse amministrazioni, da attuarsi attraverso la definizione, la modellazione e l’organizzazione di comunità di pratica;
• Il riuso e la condivisione di software e competenze tra le diverse amministrazioni. Per incoraggiare tutti gli utenti a privilegiare il canale online rispetto a quello esclusivamente fisico, rimane necessaria una decisa accelerazione nella semplificazione dell’esperienza d’uso complessiva e un miglioramento dell’inclusività dei servizi, nel pieno rispetto delle norme riguardanti l’accessibilità e il Regolamento generale sulla protezione dei dati.
Per il monitoraggio dei propri servizi, le PA possono utilizzare Web Analytics Italia, una piattaforma nazionale open source che offre rilevazioni statistiche su indicatori utili al miglioramento continuo dell’esperienza utente.
Per la realizzazione dei propri servizi digitali, le PA possono utilizzare le risorse teoriche e gli strumenti operativi messi a disposizione da Designers Italia, tra i quali riveste particolare importanza il design system.italia, che consente di concentrare i budget di progettazione e sviluppo sulle parti e sui processi caratterizzanti dello specifico servizio digitale.
Riferimenti normativi italiani:
• Legge 9 gennaio 2004, n. 4 (Disposizioni per favorire e semplificare l’accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici)
• Decreto legislativo 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale” (in breve CAD), art. 7, 17, 23, 53, 54, 68, 69 e 71
• Decreto Ministeriale 30 aprile 2008 (Regole tecniche disciplinanti l’accessibilità agli strumenti didattici e formativi a favore degli alunni disabili).
• Legge 3 marzo 2009, n. 18 – Ratifica ed esecuzione della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità
• Decreto Legislativo 10 agosto 2018, n. 106 (Attuazione della direttiva (UE) 2016/2102 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici)
• Decreto-Legge 16 luglio 2020, n. 76 (Misure urgenti per la semplificazione e l’innovazione digitale) • Decreto Legislativo 27 maggio 2022, n. 82 – “Attuazione della direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi.”
• Linee Guida AGID su acquisizione e riuso del software per la Pubblica Amministrazione (2019)
• Linee Guida AGID sull’accessibilità degli strumenti informatici (2020)
• Linee Guida AGID sulla formazione, gestione e conservazione dei documenti informatici (2021)
• Linee Guida AGID di design per i siti internet e i servizi digitali della PA (2022)
• Determinazione AGID n.354/2022 del 22 dicembre 2022 – Linee Guida sull’accessibilità degli strumenti informatici adottate con Determinazione n. 437/2019 del 20 dicembre 2019 e rettificate con Determinazione n. 396/2020 del 10 settembre 2020 – Rettifica per adeguamento a norma tecnica europea armonizzata sopravvenuta.
Riferimenti normativi europei:
• Direttiva (UE) 2016/2102 del 26 ottobre 2016 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici
• Decisione di esecuzione (UE) 2018/1524 della Commissione dell’11 ottobre 2018 che stabilisce una metodologia di monitoraggio e definisce le disposizioni riguardanti la presentazione delle relazioni degli Stati membri conformemente alla direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici
• Direttiva (UE) 2019/882 del parlamento europeo e del consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi
• Decisione di esecuzione (UE) 2021/1339 della Commissione dell’11 agosto 2021 che modifica la decisione di esecuzione (UE) 2018/2048 per quanto riguarda la norma armonizzata per i siti web e le applicazioni mobili.
Gli adempimenti a carico delle P.A.
• Dicembre 2024 – Tutte le Regioni, le Province autonome, le Città metropolitane, i Comuni capoluogo delle Città metropolitane attivano Web Analytics Italia per la rilevazione delle statistiche di utilizzo del proprio sito web istituzionale presente su IndicePA – CAP3.PA.12
• Marzo 2025 – Le PA pubblicano gli obiettivi di accessibilità sul proprio sito web – CAP3.PA.13
• Settembre 2025 – Le PA pubblicano, entro il 23 settembre, esclusivamente tramite l’applicazione form.agid.gov.it, la dichiarazione di accessibilità per ciascuno dei propri siti web e App mobili – CAP3.PA.14
• Settembre 2025 – Le Regioni, le Province autonome, le Città metropolitane e i capoluoghi delle Città metropolitane effettuano un test automatico di accessibilità sul proprio sito istituzionale indicato su https://indicepa.gov.it/ipa-portale/, utilizzando la piattaforma MAUVE++ – CAP3.PA.
• Marzo 2026 – Le PA pubblicano gli obiettivi di accessibilità sul proprio sito web – CAP3.PA.15 • Settembre 2026 – Le PA pubblicano, entro il 23 settembre, esclusivamente tramite l’applicazione form.agid.gov.it, la dichiarazione di accessibilità per ciascuno dei propri siti web e App mobili – CAP3.PA.
• Settembre 2026 – Le Regioni, le Province autonome, le Città metropolitane e i capoluoghi delle Città metropolitane effettuano un test automatico di accessibilità sul proprio sito istituzionale indicato su https://indicepa.gov.it/ipa-portale/, utilizzando la piattaforma Mauve++ – CAP3.PA.24
[1] Cfr. anche ai sensi delle «Guidelines 07/2020 on the concepts of controller and processor in the GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021.
