Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali

Tratto da www.garanteprivacy.it – Newsletter del 10/04/2024

Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online.

Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.

Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio – e non i dati del dipendente – cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, (la data di nascita, in caso di omonimia) e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

Nel dare il proprio parere positivo sugli schemi standard di pubblicazione, il Garante tuttavia ha chiesto ad Anac di innalzare il livello di tutela. Ad esempio, nel caso di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le Pa devono evitare di pubblicare dati troppo dettagliati che possano identificare il dipendente e l’ammontare del premio erogato (o non erogato) a suo favore. Potranno invece pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati e all’ammontare dei premi effettivamente distribuiti. Il Garante invita, inoltre, a valutare l’opportunità di prevedere un periodo transitorio per consentire alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web istituzionali.

11 Aprile 2024

Dichiarazione di accessibilità: la scadenza per i privati e le PA

 
Tratto da www.bitmat.it
Autore:  Redazione BitMAT – 22/09/2022
 
 

Si avvicinano i termini entro cui va compilata e presentata la dichiarazione di accessibilità. Sul sito di AgID è disponibile il modello da utilizzare.

Dichiarazione di accessibilità

Sono state fissate le date per presentare la dichiarazione di accessibilità, lo strumento attraverso il quale viene reso pubblico lo stato di accessibilità dei siti web e delle applicazioni mobile.

Le Pubbliche Amministrazioni devono farlo entro il 23 settembre, mentre i privati che offrono servizi al pubblico attraverso siti web o applicazioni mobili, con un fatturato medio negli ultimi tre anni di attività superiore a cinquecento milioni di euro, hanno tempo fino al 5 novembre. Da quest’anno, infatti, la presentazione della dichiarazione di accessibilità dovrà essere fatta anche da questi soggetti, in base a quanto previsto dal DL 76/2020.

Dal prossimo anno la scadenza del 23 settembre sarà valida sia per amministrazioni pubbliche che soggetti privati.

Per presentare la dichiarazione di accessibilità, le PA devono utilizzare esclusivamente il form online messo a disposizione da AgID. Per i privati, invece, è disponibile un modello che dovrà essere linkato nel footer dei siti web o nella sezione dedicata alle informazioni generali riportate nello store per le applicazioni mobili e nel relativo sito web del soggetto erogatore.

L’aggiornamento annuale, oltre a essere un obbligo di legge, può rappresentare un’occasione utile per fare il punto sul tema dell’accessibilità, rivedendo i propri siti e le proprie app in modo da garantire servizi digitali sempre più inclusivi.

26 Settembre 2022

Siti web della Pa: sì del Garante privacy alle Linee guida AgID

 
Tratto da www.garanteprivacy.it- 14/03/2022
 
 

Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.

Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.

Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.

In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.

Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.

Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.

Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.

14 Marzo 2022

Il Certificato SSL tutela i visitatori e protegge i siti web dalle frodi

 
Autore: Redazione Argonavis – 18/11/2020
 
 

Quale certificato SSL scegliere?

Questa e’ la domanda che i nostri clienti ci pongono spesso quando decidono di proteggere i visitatori del proprio sito.

Tutti i certificati SSL proteggono la navigazione dell’utente finale mediante cifratura del traffico, indipendentemente dal tipo di certificato.

Esistono tre tipi di convalida, ovvero il procedimento con cui la Certification Authority ( CA ) convalida l’autenticità del richiedente il certificato.

In base al tipo di convalida, al certificato vengono aggiunte delle informazioni estese per identificare meglio il proprietario del certificato e, quindi, del sito.

  • DV (Domain Validation): con questo tipo di certificato viene validato il solo dominio, ovvero si convalida che il richiedente del certificato SSL sia effettivamente l’assegnatario del dominio e ne abbia il completo controllo.

Pro: protezione del traffico, certifica il dominio, basso costo, tempi brevi di emissione (pochi minuti).

Contro: il certificato non riporta nessuna informazione estesa, come il nome del proprietario del dominio.

  • OV (Organization Validation)

Con questo tipo di certificato, l’ente certificatorio ( la CA ) effettua una verifica societaria sul richiedente per garantirne l’esistenza. Le informazioni del richiedente sono contenute all’interno del certificato stesso. Chi effettua acquisti su un sito che fornisce questa tipologia di protezione ha la garanzia di acquistare da una società verificata.

Pro: protezione del traffico , costo medio, certifica il dominio e l’azienda (che viene inserita nel certificato stesso).

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

  • EV (Extended Validation)

Si tratta di una validazione legata all’azienda richiedente che viene sottoposta a un processo di analisi molto accurato a seguito del quale il nome dell’azienda sarà sinonimo di attendibilità. All’interno di una barra verde nel browser viene mostrato il nome stesso dell’azienda, il che garantisce al visitatore la massima attendibilità dello store dal quale sta effettuando i propri acquisti.
Pro: protezione del traffico, costo medio/alto, certifica il dominio e l’azienda (che viene inserita nel certificato stesso) e attiva la barra verde del browser.

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

I certificati possono anche essere emessi con le seguenti opzioni:

  • l’opzione Wildcard, che permette alle aziende di proteggere, con un solo certificato SSL, tutti i sottodomini del sito principale, ad esempio, www.dominio.it, ma anche b2b.dominio.it, e anche cloud.dominio.it, ecc…
  • l’opzione SAN (Subject Alternative Name), che permette alle aziende di inserire, all’interno dello stesso certificato, fino ad un massimo di 250 domini legati alla stessa società ma con “common name” differenti (esempio: shop.primodominio.it, www.secondodominio.com).

I certificati gratuiti

I certificati SSL, come quelli di “Let’s Encrypt”, possono essere gratuiti, ovvero forniti da una CA (Certificate Authority) no-profit, creati per proteggere quei siti web che non possono permettersi di acquistarne uno. Essi però non sono considerati ottimali per portali di carattere commerciale, dove sono previste transazioni di denaro o dove al suo interno sono custoditi dati sensibili.

Let’s Encrypt, infatti, non è in grado di fornire una protezione completa, ma tutela solo il MIM (Man In the Middle), crittografando le comunicazioni. Non prevede alcun tipo di validazione, ma fa apparire semplicemente il lucchetto verde vicino all’url del sito sui browser.

Non è previsto un controllo dell’effettiva proprietà del dominio da parte di chi attiva il certificato. Apparentemente però non c’è alcuna differenza tra un Certificato SSL a pagamento e uno gratuito.

Le versioni gratuite non permettono di certificare i domini di terzo livello, hanno una validità di 90 giorni , ma la cosa più importante è che non offrono nessuna tutela dal rischio di phishing, né garanzia o supporto.

Per ulteriori informazioni: dircom@argonavis.it

18 Novembre 2020

Blog & News

Categorie