GDPR Audit Guide — Complete CNIL-Ready Documentation

GDPR: Il fondamento della protezione dei dati in Europa

Il Regolamento Generale sulla Protezione dei Dati(GDPR), Regolamento (UE) 2016/679, è la pietra angolare del diritto europeo sulla protezione dei dati dal 25 maggio 2018. Ha sostituito la Direttiva sulla protezione dei dati del 1995 e ha stabilito un quadro unificato per tutti gli Stati membri dell'UE. In Francia, la CNIL (Commission Nationale de l'Informatique et des Libertés) è l'autorità di controllo responsabile dell'applicazione del regolamento.

Il GDPR si applica a qualsiasi organizzazione che tratti dati personali di persone situate nell'UE, indipendentemente dal luogo di stabilimento dell'organizzazione. Per «dati personali» si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile: nomi, indirizzi e-mail, indirizzi IP, identificatori di cookie, dati di localizzazione e persino dati pseudonimizzati se la re-identificazione è possibile.

Dal 2018, le autorità europee per la protezione dei dati hanno imposto sanzioni per oltre 4,5 miliardi di euro. La sola CNIL ha emesso sanzioni per un totale superiore a 700 milioni di euro, tra cui decisioni storiche contro Google (150 milioni di euro per violazioni del consenso ai cookie nel 2022), Meta (405 milioni di euro per il trattamento dei dati dei minori nel 2023) e Criteo (40 milioni di euro nel 2023).

I sette principi chiave (Articolo 5)

L'Articolo 5 stabilisce i principi fondamentali che disciplinano qualsiasi trattamento di dati personali. Ogni decisione riguardante la raccolta, la conservazione e l'uso dei dati deve essere conforme a questi principi, e il titolare deve essere in grado di dimostrarne il rispetto (principio di responsabilizzazione).

1. Liceità, correttezza e trasparenza

I dati personali devono essere trattati in modo lecito (sulla base di una delle sei basi giuridiche dell'Articolo 6), corretto (nessun inganno o uso imprevisto) e trasparente (informazioni chiare, in linguaggio semplice, fornite agli interessati). Le sei basi giuridiche sono: consenso, esecuzione di un contratto, obbligo legale, interessi vitali, interesse pubblico e interessi legittimi.

In pratica:Mantenete un'informativa sulla privacy che spieghi in linguaggio chiaro quali dati raccogliete, perché, su quale base giuridica, per quanto tempo li conservate e con chi li condividete. Evitate il gergo legale. La CNIL richiede che le informazioni sulla privacy siano accessibili in un massimo di due clic da qualsiasi pagina.

2. Limitazione della finalità

I dati devono essere raccolti per finalità determinate, esplicite e legittime, e non possono essere ulteriormente trattati in modo incompatibile con tali finalità. Non potete raccogliere dati per «analisi» e poi utilizzarli per «pubblicità mirata» senza una base giuridica separata.

In pratica:Documentate ogni finalità di trattamento nel vostro registro dell'Articolo 30. Quando desiderate utilizzare dati esistenti per una nuova finalità, effettuate una valutazione di compatibilità (Articolo 6(4)) o ottenete un nuovo consenso.

3. Minimizzazione dei dati

Raccogliete solo dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità dichiarate. Se non avete bisogno della data di nascita per fornire il vostro servizio, non raccoglietela.

In pratica:Controllate i vostri moduli e database. Rimuovete i campi non strettamente necessari. Interrogatevi su ogni dato: «Ne abbiamo bisogno? Cosa succede se non lo raccogliamo?» La CNIL segnala specificamente la raccolta eccessiva di dati nei suoi rilievi di audit.

4. Esattezza

I dati personali devono essere esatti e aggiornati. I dati inesatti devono essere cancellati o rettificati senza ritardo. Questo principio diventa critico quando i dati vengono utilizzati per decisioni automatizzate o condivisi con terzi.

In pratica:Fornite meccanismi semplici affinché gli utenti possano aggiornare i propri dati. Implementate controlli di qualità dei dati. Quando vi vengono segnalate inesattezze, correggete i dati entro i termini previsti dagli Articoli 16 e 19.

5. Limitazione della conservazione

I dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario rispetto alle finalità del trattamento. Definite periodi di conservazione per ogni categoria di dati e applicateli.

In pratica:Create una politica di conservazione dei dati con periodi specifici per ogni categoria. Implementate processi automatizzati di cancellazione o anonimizzazione. La CNIL pubblica linee guida settoriali sulla conservazione (ad es. 3 anni dall'ultimo contatto per la prospezione commerciale, durata del contratto più i termini legali di conservazione per i dati dei clienti).

6. Integrità e riservatezza (Sicurezza)

I dati personali devono essere trattati in modo da garantire un'adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti, dalla perdita accidentale, dalla distruzione o dal danno. Ciò richiede «misure tecniche e organizzative adeguate».

In pratica:Implementate la crittografia (TLS per il transito, AES-256 per l'archiviazione), i controlli di accesso (RBAC, MFA), audit di sicurezza regolari e procedure di risposta agli incidenti. La CNIL valuta le misure di sicurezza durante gli audit e ha sanzionato organizzazioni per hashing inadeguato delle password, database non crittografati e controlli di accesso mancanti.

7. Responsabilizzazione

Il titolare del trattamento deve essere in grado di dimostrarela conformità con tutti i principi sopra elencati. Non si tratta solo di essere conformi, ma di poterlo provare. La documentazione è essenziale.

In pratica:Tenete il registro dei trattamenti dell'Articolo 30, documentate le DPIA, conservate le prove del consenso, registrate le richieste degli interessati e le risposte fornite, documentate le misure di sicurezza e conservate le piste di audit. Se non potete dimostrarlo, la CNIL vi considererà non conformi.

Registro dei trattamenti — Articolo 30

Il registro dei trattamenti è il documento GDPR più importante. È la prima cosa che la CNIL richiede durante qualsiasi ispezione. L'Articolo 30 impone sia ai titolari sia ai responsabili del trattamento di tenere un registro scritto delle loro attività di trattamento.

Per ogni attività di trattamento, il registro deve includere:

• Nome e dati di contatto del titolare del trattamento (e del DPO ove applicabile)
• Finalità del trattamento
• Categorie di interessati (clienti, dipendenti, visitatori, ecc.)
• Categorie di dati personali (identità, contatto, finanziari, comportamentali, ecc.)
• Categorie di destinatari (reparti interni, responsabili del trattamento, autorità pubbliche)
• Trasferimenti verso paesi terzi e garanzie applicate (SCC, decisioni di adeguatezza)
• Periodi di conservazione per ogni categoria di dati
• Una descrizione generale delle misure di sicurezza tecniche e organizzative

Le organizzazioni con meno di 250 dipendenti sono esentate solo se il loro trattamento è occasionale, non riguarda dati sensibili e non è suscettibile di presentare un rischio per i diritti e le libertà degli interessati. Nella pratica, praticamente ogni organizzazione che tratta dati dei clienti tramite un sito web deve tenere un registro.

Valutazione d'Impatto sulla Protezione dei Dati (DPIA) — Articolo 35

Una DPIA è necessaria quando un trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». La CNIL ha pubblicato un elenco delle operazioni di trattamento che richiedono una DPIA, tra cui:

• Trattamento su larga scala di dati sensibili (dati sanitari, biometrici, genetici)
• Sorveglianza sistematica di aree accessibili al pubblico (videosorveglianza, tracciamento)
• Processo decisionale automatizzato con effetti giuridici o analogamente significativi (credit scoring, filtro nelle assunzioni)
• Incrocio o combinazione di set di dati provenienti da fonti diverse
• Trattamento di dati di persone vulnerabili (minori, pazienti, dipendenti)
• Uso innovativo di nuove tecnologie (IA, IoT, biometria)
• Profilazione su larga scala
• Trattamenti che impediscono agli interessati di esercitare un diritto o di utilizzare un servizio

Una DPIA deve contenere: una descrizione sistematica delle operazioni di trattamento e delle loro finalità, una valutazione della necessità e proporzionalità, una valutazione dei rischi per i diritti e le libertà degli interessati e le misure previste per affrontare tali rischi. La CNIL mette a disposizione uno strumento gratuito (software PIA) per condurre le DPIA.

Diritti degli interessati (Articoli 15-22)

Il GDPR conferisce otto diritti agli interessati. Dovete essere in grado di rispondere alle richieste entro un mese (prorogabile a tre mesi per richieste complesse), gratuitamente.

Diritto di accesso (Articolo 15)

Gli interessati possono chiedere conferma dell'eventuale trattamento dei loro dati personali e, in tal caso, ottenere l'accesso ai dati e a informazioni supplementari (finalità, categorie, destinatari, periodi di conservazione, origine dei dati). Dovete fornire una copia dei dati in un formato elettronico di uso comune.

Diritto di rettifica (Articolo 16)

Gli interessati possono chiedere la rettifica di dati personali inesatti o l'integrazione di dati incompleti. Dovete rettificare i dati senza indebito ritardo e informare ogni destinatario a cui i dati sono stati comunicati.

Diritto alla cancellazione (Articolo 17)

Noto anche come «diritto all'oblio». Gli interessati possono chiedere la cancellazione dei propri dati quando: i dati non sono più necessari, il consenso viene revocato, si oppongono al trattamento, i dati sono stati trattati illecitamente o la cancellazione è prevista dalla legge. Si applicano eccezioni per obblighi di legge, interesse pubblico e azioni legali.

Diritto di limitazione del trattamento (Articolo 18)

Gli interessati possono chiedere che il trattamento sia limitato (dati conservati ma non utilizzati) mentre l'esattezza è contestata, il trattamento è illecito o hanno esercitato il diritto di opposizione in attesa di verifica.

Diritto alla portabilità dei dati (Articolo 20)

Gli interessati possono richiedere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON, CSV) e farli trasmettere direttamente a un altro titolare del trattamento ove tecnicamente fattibile. Questo diritto si applica solo ai dati forniti dall'interessato e trattati con mezzi automatizzati sulla base del consenso o di un contratto.

Diritto di opposizione (Articolo 21)

Gli interessati possono opporsi al trattamento basato su interessi legittimi o su un compito di interesse pubblico, compresa la profilazione. Per finalità di marketing diretto, il diritto di opposizione è assoluto — non è richiesta alcuna valutazione di bilanciamento.

Diritto a non essere sottoposti a decisioni automatizzate (Articolo 22)

Gli interessati hanno il diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida in modo analogo significativamente sulla loro persona. Esistono eccezioni per l'esecuzione di un contratto, l'autorizzazione legale e il consenso esplicito, ma devono essere previste garanzie (intervento umano, diritto di contestazione).

Diritto all'informazione (Articoli 13-14)

Il fondamento della trasparenza: gli interessati devono essere informati al momento della raccolta dei dati sull'identità del titolare, sulle finalità, sulla base giuridica, sui destinatari, sui periodi di conservazione, sui loro diritti e sull'obbligatorietà o meno del conferimento dei dati (obbligo legale o contrattuale).

Violazioni GDPR frequenti e sanzioni

Le violazioni più frequentemente sanzionate dalla CNIL includono:

• Consenso ai cookie non conforme (150 M EUR Google, 60 M EUR Facebook, 2022): Il consenso deve essere tanto facile da rifiutare quanto da accettare. Le caselle preselezionate e i dark pattern sono vietati.
• Base giuridica inadeguata per il trattamento (405 M EUR Meta, 2023): L'uso dell'«esecuzione di un contratto» come base giuridica per la pubblicità comportamentale è stato respinto.
• Misure di sicurezza insufficienti (1,5 M EUR Dedalus Biologie, 2022): Archiviazione delle password in chiaro, controlli di accesso inadeguati e assenza di crittografia sono riscontri frequenti.
• Conservazione eccessiva dei dati (800.000 EUR Carrefour, 2020): La conservazione dei dati dei clienti per oltre 4 anni dall'ultima interazione ha violato il principio di limitazione della conservazione.
• Mancata risposta alle richieste degli interessati (numerose sanzioni minori): La mancata risposta entro il termine di un mese attiva azioni esecutive.
• Notifica inadeguata delle violazioni dei dati (Articolo 33): Mancata notifica alla CNIL entro 72 ore dal momento in cui si è venuti a conoscenza di una violazione dei dati personali.

Misure tecniche di conformità

La CNIL valuta le misure di sicurezza tecniche nell'ambito del principio di «integrità e riservatezza». I requisiti tecnici principali includono:

• Crittografia in transito: TLS 1.2 come minimo (TLS 1.3 raccomandato) per tutte le connessioni. Header HSTS con max-age minimo di 12 mesi.
• Crittografia a riposo: AES-256 per i database contenenti dati personali. Procedure di gestione delle chiavi documentate.
• Sicurezza delle password: Hashing bcrypt, scrypt o Argon2. Minimo 12 caratteri. Blocco dell'account dopo tentativi falliti. La CNIL ha pubblicato linee guida aggiornate sulle password nel 2022 (Délibération 2022-100).
• Controllo degli accessi: Controllo degli accessi basato sui ruoli (RBAC). Principio del privilegio minimo. MFA per l'accesso amministrativo. Revisioni periodiche degli accessi.
• Registrazione: Eventi di autenticazione, accessi ai dati personali, modifiche ai dati. Conservazione dei log allineata alle esigenze di sicurezza (minimo 6 mesi). Nessun dato personale nei log.
• Rilevamento delle violazioni dei dati: Sistemi di rilevamento delle intrusioni. Rilevamento delle anomalie. Capacità di notifica entro 72 ore. Procedura di risposta alle violazioni.

Iniziare il percorso di conformità al GDPR

La conformità al GDPR non è un progetto una tantum, ma un processo continuo. Per le organizzazioni che iniziano il loro percorso di conformità, l'approccio consigliato è:

1. Mappate i vostri dati:Identificate quali dati personali raccogliete, dove sono conservati, chi vi ha accesso e per quanto tempo li conservate. Questo diventerà il vostro registro dell'Articolo 30.
2. Valutate le vostre basi giuridiche:Per ogni attività di trattamento, determinate la base giuridica. Il consenso richiede un'attenzione particolare: deve essere libero, specifico, informato e inequivocabile.
3. Proteggete i vostri dati: Eseguite un audit di sicurezza per identificare le lacune tecniche: crittografia mancante, autenticazione debole, registrazione inadeguata. Molti di questi problemi possono essere rilevati automaticamente.
4. Documentate tutto: Il principio di responsabilizzazione richiede documentazione. Create modelli per informative sulla privacy, accordi per il trattamento dei dati, notifiche di violazione e risposte alle richieste degli interessati.

CNIL Audit Preparation Checklist

The CNIL can conduct four types of audits: on-site inspections, online (remote technical) checks, document-based requests, and formal hearings. Here is what you need to have ready: