General Data Protection Regulation (GDPR) e utilizzo dei Social Media da parte della Pubblica Amministrazione
Le possibilità di utilizzo da parte della Pubblica Amministrazione di strumenti web quali il sito istituzione e i Social Media sono state esaminate nella Direttiva n. 8/09 del Ministro per la Semplificazione e la Pubblica Amministrazione del 26 novembre 2009, nelle Linee guida di design per i servizi web della PA (attualmente alla versione 2017.1), nel Vademecum “Pubblica Amministrazione e social media” del 2011 realizzato da Formez PA (associazione riconosciuta con personalità giuridica di diritto privato, in house alla Presidenza del Consiglio, alle Amministrazioni centrali dello Stato e alle Amministrazioni associate) nell’ambito delle attività finalizzate alla elaborazione delle Linee guida per i siti web delle Pubbliche Amministrazioni (previste dalla Direttiva n. 8 del 26 novembre 2009 del Ministro per la pubblica amministrazione) e nel Terzo Piano d’Azione Ogp (Open Government Partnership) Italia 2016-2018 del 21 settembre 2016.
Sebbene la Direttiva n. 8/09 e il Vademecum “Pubblica Amministrazione e social media” non siano di recente pubblicazione, in essi sono contenute indicazioni di valore oggettivo che permettono di analizzare l’utilizzo dei Social Media da parte della Pubblica Amministrazione in ottica GDPR.
Se d’apprima, nel Vademecum, l’allora Ministro per la Pubblica Amministrazione e la Semplificazione, Filippo Patroni Griffi, si preoccupava di evidenziare le opportunità che l’uso dei Social Media possono offrire alla Pubblica Amministrazione in termini di razionalizzazione delle spese di comunicazione, monitoraggio della soddisfazione degli utenti sulle attività dell’ente, trasparenza e collaborazione tra amministrazioni e cittadino, successivamente si preoccupava di porre l’attenzione sulle fonti di rischi per le pubbliche amministrazioni derivanti da una gestione non appropriata dei Social Media. In ogni caso, viene ivi precisato che “non vi è alcun obbligo normativo per la PA a essere presente con un proprio presidio istituzionale su uno o più siti social …omissis… questi strumenti integrano e non sostituiscono i tradizionali canali di comunicazione attraverso i quali l’amministrazione rende disponibili le informazioni e i propri servizi al cittadino“. Occorre inoltre tenere presente che l’adozione di un Social Media implica la consapevolezza che si sta passando da un modello di comunicazione “verso” il cittadino a un modello “con” il cittadino e questo comporta la conoscenza non solo dello strumento, ma anche di diverse dinamiche relazionali.
Di seguito analizzeremo i punti salienti da tenere in considerazione nella fase di adozione e durante la gestione di un Social Media e termineremo l’analisi indicando quali ulteriori valutazioni saranno necessarie in vista dell’adozione del Regolamento europeo in materia di protezione dei dati personali (in inglese GDPR General Data Protection Regulation – Regolamento UE 2016/679) prevista per il 25 maggio 2018.
Centralità del sito web istituzionale e presidio dei Social Media
Nel Vademecum viene indicato come il sito web istituzionale debba assumere un ruolo centrale e deve divenire il punto di riferimento verso il quale indirizzare gli utenti per le informazioni ufficiali, mentre i Social Media media debbano rimanere meri strumenti attraverso i quali veicolare, in modo appropriato, le informazioni comunque presenti nel sito web istituzionale.
Viene inoltre ribadito che i Social Media devono essere presidiati, con conseguenti implicazioni sul linguaggio ivi utilizzato, che deve essere adeguato al contesto e specifico per lo strumento, garantire tempi di risposta sufficientemente rapidi, definire internamente i livelli di responsabilità necessari per parlare in nome e per conto del proprio Ente. Questo significa che anche il semplice presidio richiede un’analisi approfondita della propria organizzazione, che dovrà aver chiaramente identificato persone, ruoli e responsabilità.
Il Vademecum segnala altresì che una delle ragioni per cui la presenza sui siti di social networking non può essere in nessun modo sostitutiva del sito istituzionale della Pubblica Amministrazione è che l’Ente deve garantire la comunicazione e il dialogo anche agli individui che, per loro insindacabile scelta, non intendano iscriversi ai social network site o utilizzare i social media.
Una seconda ragione per cui i Social Media non devono certamente sostituire il sito istituzionale della Pubblica Amministrazione con siti di social networking, è dovuto al fatto che il legislatore (specialmente con il D. Lgs. n. 82/2005), nel corso degli anni, ha trasformato il sito web istituzionale nel principale front office della Pubblica Amministrazione, e tale sito è conseguentemente divenuto un insostituibile strumento di trasparenza. Quindi, dal momento che non tutti i cittadini sono iscritti ed usano i social network, non avere o non aggiornare il sito istituzionale determinerebbe una disparità di trattamento ingiustificata tra i cittadini, oltre che una violazione del “principio della neutralità tecnologica”, principio sotteso all’intero impianto normativo in materia di digitalizzazione della PA.
Quadro normativo
Nel Vademecum viene indicato come nel nostro ordinamento non esistono precisi obblighi giuridici relativi alla presenza delle Pubbliche Amministrazioni sui siti di social networking, in quanto il legislatore ha ritenuto opportuno che la scelta di utilizzare tali strumenti sia assunta soltanto dagli Enti che sono in condizione di accettarne le dinamiche e metterne in pratica i paradigmi. Per aiutare gli Enti che intendono approfondire la tematica dell’uso dei Social Media sempre Formez PA ha pubblicato il volume Social media e PA, dalla formazione ai consigli per l’uso – Il primo libro “in progress” della nuova comunicazione pubblica di cui, da gennaio 2018, è disponibile la seconda edizione.
In assenza di indicazioni giuridiche è anche possibile affermare che non esistono ostacoli all’utilizzo dei social media da parte delle Pubbliche Amministrazioni e che il Ministro per la pubblica amministrazione e l’innovazione ha auspicato un uso proficuo dei social media per fini istituzionali, specialmente nel campo della comunicazione e della trasparenza. Inoltre l’utilizzo dei media sociali da parte delle Pubbliche Amministrazioni consente una più compiuta attuazione dell’art. 3, D. Lgs. n. 82/2005 che prevede un vero e proprio diritto all’uso delle tecnologie, da parte di cittadini e imprese, nelle comunicazioni con i pubblici uffici e dell’art. 9, D. Lgs. n. 82/2005 che afferma che bisogna favorire ogni forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini, anche residenti all’estero, al processo democratico e per facilitare l’esercizio dei diritti politici e civili, sia individuali sia collettivi (ovvero la cosiddetta democrazia elettronica o e-democracy).
Sempre nel Vademecum viene comunque precisato che l’adozione dei Social Media non può prescindere dal rispetto delle norme già vigenti per assicurare correttezza e legittimità della presenza dell’ente sui social network. Di seguito i principali provvedimenti normativi rilevanti ai fini dell’adozione e della gestione dei Social Media di cui occorre tenere debito conto sono i seguenti:
- Legge n. 633/1941 – Protezione del diritto d’autore e di altri diritti connessi al suo esercizio
- Legge n. 150/2000 – Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni
- D. Lgs. n. 196/2003 – Codice in materia di protezione dei dati personali
- Legge n. 4/2004 – Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici
- D. Lgs. n. 82/2005 – Codice dell’Amministrazione Digitale
- D. Lgs. n. 163/2006 – Codice dei contratti pubblici in materia di lavori, servizi e forniture
Controllo sulle funzionalità dei Social Media e registrazione del profilo
Il Vademecum pone giustamente l’attenzione sul fatto che i siti di social networking sono realizzati da soggetti terzi rispetto alla PA che li utilizza e quindi sarà necessario tenere presente che gli Enti possono avere un controllo limitato sulle funzionalità offerte da tali siti; di conseguenza occorre prestare maggiore attenzione al tipo di contenuti veicolati attraverso gli strumenti social da una PA, come ad esempio il formato dei documenti resi disponibili o l’utilizzo di una descrizione testuale ogni volta che si utilizza un’immagine.
Un secondo aspetto su cui il Vademecum pone l’attenzione è che l’iscrizione a un sito di social networking comporta la conclusione di un vero e proprio contratto ad oggetto informatico (il cosiddetto contratto di social networking) e che quindi deve essere assicurata la compatibilità dell’attività negoziale con quanto previsto dalla normativa vigente (in particolare il D. Lgs. n. 163/2006). Quindi la decisione relativa all’iscrizione dell’Amministrazione ai servizi social deve essere presa o autorizzata dal soggetto che, in base all’ordinamento dell’Ente, è in grado di impegnarlo verso l’esterno. Tale autorizzazione è ancor più necessaria in relazione al fatto che, di norma, l’utente dei siti di social networking non ha la possibilità di influire sui contenuti del contratto (proponendo clausole o ottenendo la modifica di quelle già predisposte), potendo soltanto scegliere se aderire o meno al servizio.
Un terzo aspetto da tenere in considerazione riguarda i termini di servizio (in inglese Terms of Service o TOS) che devono essere accettati dall’Ente prima di poter accedere ai servizi di social media. Infatti è opportuno conservare tali condizioni al pari di qualunque altro contratto in quanto trattano di:
- riservatezza dei dati degli utenti (privacy policy);
- condotte consentite all’utente;
- diritti sui contenuti inseriti dagli utenti;
- limitazioni di responsabilità del fornitore.
In particolare tra gli aspetti maggiormente rilevanti rientrano quelli legati alla privacy degli utenti e ai contenuti veicolati attraverso i Social Media. Infatti deve essere sempre garantita la conformità con quanto previsto dal codice in materia di protezione dei dati personali (D. Lgs. n. 196/2003 e a partire dal 25 maggio 2018.con quanto previsto dal GDPR). Per quanto riguarda invece i temi legati ai diritti d’autore e alla proprietà intellettuale che l’Amministrazione può vantare su alcuni dei contenuti pubblicati, si deve tenere conto che alcuni provider, nei propri modelli contrattuali, prevedono che l’utente trasferisca al fornitore il diritto di utilizzare, anche a fini commerciali, il materiale ospitato sui propri server.
La Pubblica Amministrazione deve anche prestare attenzione al tipo di comportamenti vietati dal gestore del social network che potrebbero comportare la cancellazione del profilo o dell’account dell’Ente, nonché alla circostanza che tutti i contenuti pubblicati sui canali social non devono ledere i diritti d’autore o di proprietà intellettuale di terzi soggetti (comportamento che potrebbe esporre l’Amministrazione a contenzioso).
Dal momento che i termini di servizio sono soggetti a frequente revisione e modifica da parte dei fornitori del servizio è opportuno monitorare l’evoluzione di questo documento in modo da valutare se le modifiche possano essere accettate oppure l’Ente debba abbandonare il social network.
Se la Pubblica Amministrazione decide di accettare i termini di servizio è opportuno che venga redatto un documento volto a regolare il rapporto tra l’organizzazione dell’Ente e i social media (social media policy interna): tale documento, a rilevanza interna, assume grande importanza e deve essere scritto a cura dell’ufficio legale e di quello incaricato per le attività di informazione e comunicazione e ha l’obiettivo di fornire agli operatori le indicazioni necessarie al fine di assicurare una corretta presenza dell’Ente sul Social Media. Sebbene la redazione di tale documento non sia obbligatoria, quest’ultima è comunque consigliabile per consentire una corretta gestione del profilo dell’Ente sui social network e per ridurre il rischio di critiche e contenziosi.
Inoltre, dal momento che la caratterista principale dei Social Media è quella di consentire una spiccata interazione con i cittadini-utenti che non si limiti alla fruizione passiva dei contenuti pubblicati, ma che permetta l’interazione tramite commenti sull’attività dell’Ente e l’avvio di nuove discussioni, la Pubblica Amministrazione, che decida di ricorre ai Social Media, deve tenere conseguentemente in adeguata considerazione le seguenti disposizioni normative:
- Legge n. 633/1941 – Legge sul dirtto d’autore – con riferimento ai contenuti pubblicati sul profilo dell’Ente;
- D. Lgs. n. 196/2003 e dal 25 maggio 2018 quanto previsto da Regolamento (UE) n. 2016 / 679 – in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali – specialmente in relazione alle informazioni dei cittadini;
- art. 21 della Costituzione che sancisce i limiti, impliciti ed espliciti, alla libertà di manifestazione del pensiero.
L’esame di tutti questi aspetti dovrà portare alla stesura della social media policy interna in cui rendere chiaro agli utenti i seguenti aspetti:
- le licenze con cui sono pubblicati i contenuti dell’Ente (testi, foto, video) e se questi possono essere riutilizzati (ad esempio perché pubblicati con licenze aperte);
- l’informativa in materia di riservatezza dei dati personali in cui rendere noto come saranno trattate le informazioni degli utenti nel rispetto del D. Lgs. n. 196/2003 e dal 25 maggio 2018 nel rispetto di quanto previsto dal GDPR;
- quali sono le condotte consentite e quali comportamenti possono determinare l’eliminazione del commento/contenuto ed eventualmente la segnalazione all’autorità giudiziaria competente (frasi ingiuriose e offensive, commenti osceni, contenuti illegali, contenuti classificabili come spam).
Oltre alla social media policy interna, al fine di prevenire un possibile contenzioso, per ogni spazio aperto sui siti di social networking è opportuno che l’Amministrazione predisponga e renda pubblico anche un apposito documento (social media policy esterna) che illustri all’utenza le regole di comportamento da tenere negli spazi di presidio dell’Ente e indichi quali contenuti e quali modalità di relazione ci si deve aspettare dall’Ente in tali spazi. La social media policy esterna è un documento destinato al cittadino e volto a regolare il rapporto tra esso e l’Ente nell’ambito dei social media per ridurre al minimo il rischio di critiche e malintesi relativi all’interazione con i cittadini-utenti. La pubblicazione di tale documento può essere anche unica per tutti i siti di social networking utilizzati dall’Ente.
Accessibilità dei Social Media
Prima di decidere se utilizzare un Social Media, un altro aspetto che la Pubblica Amministrazione dovrà tenere in considerazione è il rispetto dei requisiti di accessibilità del Web vigenti nel nostro Paese, ai sensi della legge n. 4 del 2004 e dei suoi decreti attuativi. Infatti, se non opportunamente realizzato in conformità ai requisiti di accessibilità, il Social Media può diventare causa di esclusione sociale e di discriminazione nei confronti degli appartenenti alle categorie svantaggiate.
A tal proposito per garantire l’accessibilità ai disabili, secondo la normativa italiana attualmente vigente, i siti web della PA devono essere conformi ai requisiti tecnici elencati nell’allegato A del Decreto Ministeriale 8 luglio 2005. Nel caso dei siti di social networking, realizzati da soggetti terzi, la PA deve tener conto di avere un controllo limitato sulle funzionalità offerte e di conseguenza deve privilegiare l’impiego delle funzionalità accessibili, nonché seguire quegli accorgimenti che consentono comunque il coinvolgimento di tutti gli utenti. In ogni caso occorre tenere presente che chiunque abbia accesso a Internet ha il diritto di essere considerato un potenziale utente di servizi di social networking, soprattutto se erogati dalla PA che deve coniugare l’utilizzo delle nuove tecnologie con i principi di libertà, solidarietà e uguaglianza.
Considerazioni relative al rispetto di quanto previsto dal GDPR
Con il Regolamento Generale sulla Protezione dei dati personali (in inglese GDPR General Data Protection Regulation – Regolamento UE 2016/679) la Commissione europea ha voluto rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini, sia all’interno che all’esterno dei confini dell’Unione europea. Il testo, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
L’adozione GDPR implicherà nell’ambito dell’utilizzo dei Sociali Media le seguenti novità che le Pubbliche Amministrazioni (e le aziende private) dovranno tenere presenti:
- il GDPR indica gli obiettivi da raggiungere, lasciando alla discrezionalità degli operatori la scelta degli strumenti più opportuni in relazione al contesto, ma impone al contempo l’obbligo di documentare le ragioni che hanno motivato tali scelte;
- il GDPR comprende anche gli obblighi relativi alla gestione dei dati personali (ovvero tutte le informazioni relative a un individuo e alla sua figura professionale e pubblica) che riguardano sia la sicurezza sia ambiti ulteriori come la conservazione, la riservatezza, l’anonimizzazione e la cancellazione a richiesta del soggetto interessato;
- il GDPR rivede il concetto di accountability (responsabilizzazione): la responsabilità del trattamento è in capo al titolare del trattamento (ovvero il controller nella versione inglese) e non al responsabile del trattamento (ovvero il processor nella versione inglese);
- il GDPR impone l’applicazione del principio della data protection by design, che richiede di considerare la protezione dei dati fin dalla fase di ideazione e progettazione di un sistema per il trattamento o la gestione di dati personali, coinvolgendo quanti si occupano dello sviluppo di servizi, prodotti, applicazioni che fanno uso di dati personali;
-
alcuni dei principi fondamentali del GDPR sono volti a limitare il campo di esposizione ai rischi da momento che nessuna banca dati può essere ritenuta sicura in Internet:
- minimizzazione dei dati — raccolgo solo i dati necessari e non altri;
- limitazione delle finalità — non posso decidere di fare ciò che voglio dei dati, ma solo perseguire la finalità per cui li ho raccolti;
- limitazione della conservazione — sono chiamato a eliminare i dati appena finisce lo scopo per cui li ho raccolti;
- la richiesta di consenso deve essere chiaramente distinguibile, comprensibile, semplice e chiara;
- occorre specificare la base giuridica del trattamento e se e tramite quali strumenti avvengono trasferimenti di dati personali in Paesi terzi;
Occorre altresì tenere in considerazione, le seguenti indicazioni del Garante della Privacy:
-
- “Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).”
-
- “il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).”
-
- “Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.”
- “il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.”
Quindi per valutare se PA possa o meno adottare un Social Media nel pieno rispetto di quanto previsto dal GDPR occorre un’attenta valutazione del rispetto del principio del data protection by design, dalla limitazione dell’esposizione ai rischi, e dei requisiti del “diritto di accesso”, del “diritto all’oblio” e della “portabilità dei dati”. Inoltre dovranno essere sempre attentamente analizzati eventuali provvedimenti dei Garanti della Privacy e le modifiche dei i termini di servizio per valutare se
l’Ente debba abbandonare il social network ai fini del rispetto del GDPR.
Per maggiori approfondimenti sul GDPR si vedano i seguenti documenti: