Italiano
English 
Il 26 marzo 2024, l’Autorità francese per la protezione dei dati personali, la Commission Nationale de l’Informatique et des Libertés (“CNIL”) ha pubblicato, una guida pratica in materia di sicurezza dei dati personali.
La guida offre indicazioni tecniche e organizzative per l’applicazione dell’articolo 32 del Regolamento UE 679/2016 – Regolamento generale sulla protezione dei dati (“GDPR”) il quale stabilisce che titolari e responsabili del trattamento devono implementare misure adeguate a garantire un livello di sicurezza appropriato al rischio. L’obiettivo della guida è di fornire supporto pratico a tutte le organizzazioni che trattano dati personali.
Il documento è suddiviso in schede tematiche e per ognuno degli argomenti esaminati individua le misure da implementare e i comportamenti da evitare.
La prima parte della guida riporta indicazioni rivolte agli utenti che utilizzano quotidianamente gli strumenti informatici all’interno di un’organizzazione. Tra le altre misure, il documento suggerisce di adottare un regolamento informatico, conferendo valore vincolante alle principali regole per l’utilizzo degli strumenti informatici. La CNIL raccomanda, inoltre, di sensibilizzare gli utenti sui rischi per la privacy, informando gli stessi sulle misure attuate per affrontare i rischi e sulle potenziali conseguenze in caso di comportamenti inadeguati.
La seconda parte del documento segnala alcune misure pratiche per garantire la sicurezza delle postazioni di lavoro, dei dispositivi mobili, della rete informatica, dei server e dei siti web. La CNIL dedica una scheda alle misure per garantire la c.d. privacy by design per assicurare il rispetto del GDPR fin dalla progettazione di applicazioni e siti web nonché del sistema informatico aziendale. Le schede forniscono inoltre suggerimenti pratici sull’uso di dispositivi di proprietà personale sul luogo di lavoro e sulle misure per garantire la sicurezza dei dati anche nelle ipotesi in cui i dipendenti lavorino in luoghi diversi dalla sede aziendale.
La terza parte del documento fornisce indicazioni su come garantire la sicurezza nello scambio di dati con l’esterno, ad esempio nelle ipotesi di invio degli stessi tramite e-mail, messaggistica istantanea e piattaforme di archiviazione di file. La CNIL suggerisce le misure di sicurezza da adottare nella scelta dei responsabili del trattamento e nella gestione del rapporto con gli stessi nonché indicazioni sulla corretta manutenzione e dismissione di hardware e software.
La quarta parte riporta indicazioni su come garantire la gestione di eventuali incidenti quali la violazione della riservatezza, dell’integrità o della disponibilità dei dati; tra le misure suggerite, la CNIL individua il monitoraggio costante delle operazioni all’interno dei sistemi informativi aziendali, il backup e l’adozione di piani di continuità operativa (BCP) e disaster recovery.
La parte conclusiva del documento offre spunti specifici su come identificare i rischi e valutarne la probabilità e la gravità per implementare le misure di sicurezza appropriate. La CNIL fornisce, inoltre, indicazioni specifiche sulle tecniche di crittografia, hash e firme digitali e dedica una scheda informativa alle raccomandazioni tecniche e organizzative per raggiungere un primo livello di sicurezza nello sviluppo di sistemi di intelligenza artificiale.
Infine, nel documento è presente un questionario che consente di valutare il livello di sicurezza dei dati personali trattati dalla propria organizzazione.
Il documento della CNIL non è vincolante per le organizzazioni che operano nel territorio nazionale ma offre spunti pratici e indicazioni operative utili per garantire la sicurezza dei dati personali in un contesto tecnologico in costante evoluzione.
Nel rispetto del principio di accountability sancito dal GDPR ogni titolare del trattamento dovrebbe chiedersi:
- ho predisposto policy / procedure interne con indicazioni chiare sull’utilizzo degli strumenti informatici?
- le policy / procedure in ambito IT sono coerenti con i sistemi informativi oggi in uso? (ad esempio: potrebbero essere state introdotte modalità di lavoro da remoto/smartworking che necessitano di essere regolamentate);
- le misure di sicurezza implementate (ad esempio: le modalità di accesso ai sistemi) sono adeguate o vengono utilizzate tecniche obsolete che mettono a rischio la protezione dei dati personali?
- ho effettuato recentemente una mappatura dei rischi sul trattamento dei dati personali?
- effettuo periodicamente campagne di formazione ed informazione nei confronti di coloro che, all’interno dell’azienda, trattano dati personali?
I professionisti di DCP sono in grado di supportarvi nelle attività di analisi dei rischi in materia di trattamento dei dati personali e nell’implementazione di procedure / policy e regolamenti.
La guida in lingua inglese è disponibile al seguente link: https://cnil.fr/en/practice-guide-security-personal-data-2024-edition
Restiamo a disposizione per qualsiasi necessità e/o chiarimento.
A cura di:
- avv. Caterina Vecchio
- avv. Giulia Lorandi
Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.