Bollettino legale n. 91 – Gennaio 2026. 

 

Protezione dei dati alla luce della sanzione "France Travail".

La sanzione adottata il 29 gennaio dalla CNIL nei confronti di France Travail è esemplare in quanto ci ricorda gli elementi essenziali di un'efficace politica di sicurezza.

In un contesto di crescente numero di violazioni di dati su larga scala, la CNIL sottolinea tre aspetti fondamentali della protezione dei dati:

• Autenticazione robusta,
• Registrazione efficace,
• Una politica di autorizzazione studiata su misura per le responsabilità degli agenti.

La sanzione inflitta dalla CNIL, pari a 5 milioni di euro, rappresenta l'ultimo atto di una vicenda iniziata nel 2024, quando degli hacker riuscirono ad accedere agli account dei consulenti di Cap Emploi.

Questo accesso ha permesso loro di collegarsi ai dati di tutte le persone iscritte a France Travail, o che si sono iscritte negli ultimi 20 anni, nonché alle persone con uno spazio di candidatura su francetravail.fr.

Ciò significa che gli hacker sono riusciti a scaricare i dati di oltre 36 milioni di persone.

Per quanto riguarda la responsabilità, va notato che, pur non eludendo quella dei consulenti di Cap Emploi, la CNIL insiste sulla responsabilità principale di France Travail.

• France Travail è responsabile "dell'iniziativa per implementare e gestire le misure volte a garantire la sicurezza del sistema informativo, al quale ha aperto l'accesso per Cap Emploi (...)."
• È stata inoltre France Travail a decidere di ignorare le precedenti raccomandazioni dell'analisi d'impatto in merito all'autenticazione.

I vincoli di tempo, legati a difficoltà tecniche di implementazione, lo avrebbero spinto a ignorare queste precauzioni.

A tale proposito, la CNIL ribadisce la sua dottrina sull'autenticazione e specifica che l'uso delle password deve essere integrato da misure aggiuntive (captcha, ritardo di accesso o blocco dell'account dopo un massimo di dieci tentativi errati), a meno che la password non sia composta da: un minimo di 12 caratteri, inclusi lettere maiuscole, minuscole, numeri e caratteri speciali; oppure un minimo di 14 caratteri, inclusi lettere maiuscole, minuscole e numeri, senza caratteri speciali obbligatori; oppure una frase composta da un minimo di 7 parole.

In questo caso specifico, la password era lunga solo otto caratteri e la politica di autenticazione prevedeva una soglia di 50 tentativi non riusciti prima di bloccare l'accesso alle macchine virtuali dei consulenti. 

France Travail, che elabora una grande quantità di dati sensibili, relativi ad esempio all'origine della disabilità, ai limiti di una postazione di lavoro, all'evoluzione della situazione di disabilità, avrebbe dovuto imporre condizioni di accesso molto più rigorose.

In particolare, avrebbero dovuto prevedere l'autenticazione a più fattori, una dottrina che, secondo la CNIL, è essenziale soprattutto per il trattamento di dati sensibili e per i trattamenti o le operazioni che comportano un rischio per le persone interessate.

“La difficoltà di utilizzare il telefono come secondo fattore, dovuta all'indipendenza di Cap Emploi, avrebbe potuto essere superata con altre misure, ad esempio distribuendo ai dipendenti calcolatori di OTP (One-Time Password) (…).”

La CNIL sottolinea inoltre il ruolo essenziale delle misure di disboscamento.

Queste misure non hanno permesso di rilevare comportamenti anomali nel sistema informativo, in questo caso, volumi anomali di download di dati.

Il relatore della CNIL critica France Travail per la mancanza di un monitoraggio automatico e regolare dei registri, necessario per individuare e analizzare gli incidenti di sicurezza e per fornire una risposta rapida ed efficace.

“Le operazioni effettuate sono risultate altamente anomale alla luce dei tempi e della frequenza delle richieste, del considerevole volume di dati estratti (25 GB di dati di tipo “testo”), del tasso di errore di alcune richieste (69 % su uno degli account compromessi (…), e del fatto che i dati sono stati estratti anche se l’attività dei consulenti di Cap Emploi non richiede un consumo significativo di risorse o un’estrazione significativa di dati (ad esempio, solo martedì 6 febbraio 2024 sono stati estratti 9 GB di dati, che corrisponderebbero a più di 13 milioni di record per un singolo consulente in un solo giorno).”

Infine, la CNIL insiste sull'importanza di limitare le autorizzazioni di accesso alle esigenze e alle funzioni dei dipendenti.

La studiosa osserva che le impostazioni degli account dei consulenti erano state definite in modo troppo generico, consentendo loro di accedere ai dati di persone che non assistevano, il che ha aumentato la quantità di dati accessibili agli aggressori.

La CNIL giustifica l'entità della sanzione con la scelta di France Travail di non attuare le raccomandazioni della sua analisi d'impatto, che ha portato alla compromissione dei dati personali di oltre 36,8 milioni di persone, inclusi dati soggetti a protezione speciale come il NIR, che presenta rischi specifici di usurpazione o interconnessione per la sua natura significativa, unica e permanente.

Potrebbe sembrare ovvio concludere che non si debba aspettare una violazione dei dati per garantire la sicurezza di un sistema.

Va inoltre notato che la CNIL sanziona regolarmente le violazioni dell'obbligo di sicurezza anche quando queste non sono necessariamente la causa di una violazione dei dati, come ad esempio una politica di password insufficientemente robusta.

Anche la sicurezza dei dati è stata tra i principali temi sanzionati dall'autorità di controllo nel 2025, come indicato nella sua relazione pubblicata all'inizio di febbraio.

 

Una fuga di dati, rimasta inosservata per diciotto mesi, ha colpito una delle principali società fiduciarie digitali in Francia.

La piattaforma di verifica dell'identità e prevenzione delle frodi Sumsub ha segnalato di aver subito un "incidente di sicurezza" nel luglio 2024.

L'azienda è venuta a conoscenza dell'intrusione solo in seguito a un audit di sicurezza, effettuato nel gennaio 2026. L'attacco informatico si basa, come nel caso di France Travail, sulla compromissione di una terza parte.

I dati compromessi includono nomi, indirizzi email e numeri di telefono.

Il 30 dicembre 2025, la CNIL ha inflitto una sanzione di 3,5 milioni di euro. a un'azienda di cui purtroppo non rivela il nome, per aver trasmesso, a intervalli regolari per sei anni, i dati dei membri del suo programma fedeltà a un social network per finalità di targeting pubblicitario, senza valido consenso.

A seguito di una consultazione pubblica, la CNIL ha pubblicato il 16 gennaio le sue raccomandazioni sulla raccolta del consenso per l'utilizzo di più dispositivi. (cross-device) nel contesto dell'utilizzo di cookie e altri strumenti di tracciamento.

L'obiettivo è aiutare le parti interessate a ottenere un consenso conforme ai requisiti del GDPR e, in particolare, garantire una raccolta trasparente del consenso.

La Commissione ha inoltre pubblicato il 14 gennaio due mappe che elencano le certificazioni e i codici di condotta approvati. dalle autorità nazionali o dal Comitato europeo per la protezione dei dati (EDPB) dall'entrata in vigore del GDPR, per facilitare l'individuazione degli strumenti di conformità disponibili.

Infine, in vista delle elezioni comunali del 15 e 22 marzo, la CNIL ci ricorda le buone prassi nella campagna elettorale e riattiva il suo osservatorio elettorale.

Fondata nel 2012, la sua missione è garantire che i partiti politici e i candidati tengano conto della legislazione sulla protezione dei dati nelle loro attività.

In particolare, consente il monitoraggio delle richieste indirizzate alla CNIL nell'ambito delle campagne elettorali, come ad esempio le richieste di consulenza ai candidati o le segnalazioni di pratiche scorrette.

All'inizio di febbraio, lo Stato ha assunto tre impegni a favore della sovranità digitale:

• Per quanto riguarda i dati sanitari, ha lanciato un bando di gara per affidare i dati sanitari dei cittadini francesi a una "piattaforma europea sicura".
• Più in generale, lo Stato si impegna a orientare in modo massiccio gli acquisti pubblici verso soluzioni francesi ed europee, investendo in esse 4,5 miliardi di euro.

Secondo David Amiel, Ministro Delegato per la Funzione Pubblica, "C'è un bisogno urgente di disintossicarci dalle soluzioni americane".

• Infine, una circolare recentemente pubblicata dal Primo Ministro specifica che le amministrazioni dovrebbero privilegiare le soluzioni di mercato (piuttosto che svilupparle internamente) a condizione che soddisfino i criteri di sovranità e sicurezza.

Il 30 gennaio 2026 il Consiglio di Stato si è pronunciato a favore della CNIL nell'ambito di una controversia relativa alla sorveglianza algoritmica che la vedeva contrapposta alla città di Nizza.

Conferma che l'elaborazione algoritmica delle immagini provenienti dalle telecamere di videosorveglianza installate all'ingresso delle scuole, implementata dal comune, non è autorizzata dalla legge vigente. 

Pur consentendo l'installazione di sistemi di videosorveglianza negli spazi pubblici, il Codice di Sicurezza Interna, con il suo silenzio, non può "essere interpretato come autorizzazione all'implementazione di elaborazioni algoritmiche che permettano un'analisi sistematica e automatizzata delle immagini raccolte negli spazi pubblici mediante tali sistemi. Nessun'altra disposizione autorizza l'implementazione di tali elaborazioni".

Alcuni cittadini americani "per caso" stanno chiedendo alla CNIL di sospendere il trasferimento dei loro dati bancari verso gli Stati Uniti.

In conformità con il Foreign Account Tax Compliance Act (FATCA), gli istituti bancari francesi devono trasmettere una grande quantità di dati sensibili che li riguardano alle autorità fiscali americane al fine di contrastare possibili frodi; i cittadini americani, infatti, sono tenuti a dichiarare i propri redditi negli Stati Uniti, indipendentemente dal luogo di residenza nel mondo.

L'Associazione degli Americani per Caso denuncia l'attuale accordo tra Stati Uniti e Francia che disciplina le condizioni per la condivisione di queste informazioni.

 

istituzioni e organismi europei

Il 20 gennaio 2026, la Commissione europea ha proposto un nuovo pacchetto di misure di cybersicurezza volte a rafforzare la resilienza dell'UE e a migliorarne la capacità di gestire le minacce.

Il progetto comprende una proposta di revisione del regolamento sulla cybersicurezza, che rafforza la sicurezza delle catene di approvvigionamento delle tecnologie dell'informazione e della comunicazione (TIC) dell'UE.

Garantisce che i prodotti destinati ai cittadini dell'UE siano sicuri dal punto di vista informatico fin dalla fase di progettazione, attraverso un processo di certificazione semplificato.

Inoltre, agevola il rispetto delle norme UE vigenti in materia di cibersicurezza e rafforza l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) nel suo ruolo di supporto agli Stati membri e all'UE nella gestione delle minacce alla cibersicurezza.

Il 27 gennaio la Commissione europea e il Brasile hanno adottato due decisioni di mutua adeguatezza, confermando la comparabilità dei loro livelli di protezione dei dati.

"Riconoscendo gli elevati standard di protezione dei dati che tutelano i consumatori e i cittadini di entrambe le parti, questi accordi consentono ora alle imprese, alle autorità pubbliche e ai ricercatori di scambiare liberamente dati tra l'UE e il Brasile."

Il 26 gennaio la Commissione ha avviato una nuova indagine formale contro X ai sensi del Regolamento sui servizi digitali (DSA).

Sospetta che le funzionalità Grok integrate in X comportino rischi non valutati e non mitigati di generare e distribuire contenuti illegali, come immagini manipolate a sfondo sessuale, inclusi contenuti che potrebbero costituire pedopornografia.

Ha inoltre esteso il procedimento formale avviato nel dicembre 2023 contro X per accertare se la società abbia valutato e mitigato adeguatamente tutti i rischi sistemici relativi ai suoi sistemi di raccomandazione di contenuti.

Inoltre, il 26 gennaio, la Commissione europea ha ufficialmente designato WhatsApp come piattaforma online di grandi dimensioni (VLOP) ai sensi del DSA, poiché la sua funzione "Canali" ha raggiunto la soglia richiesta di almeno 45 milioni di utenti nell'UE.

Meta ha quattro mesi di tempo, fino a metà maggio 2026, per garantire che WhatsApp si conformi agli obblighi aggiuntivi imposti dal DSA.

Questi obblighi includono la valutazione e la mitigazione di eventuali rischi sistemici, quali violazioni dei diritti umani fondamentali e della libertà di espressione, manipolazione elettorale, diffusione di contenuti illegali e problemi relativi alla privacy, derivanti dai suoi servizi.

Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato il 21 gennaio un parere congiunto sulla proposta della Commissione europea relativa al "Documento omnibus digitale sull'IA", che mira a semplificare l'attuazione di alcune norme armonizzate previste dal regolamento sull'IA al fine di garantirne l'effettiva applicazione.

Entrambe le autorità sostengono l'obiettivo di affrontare le sfide pratiche legate all'attuazione della legislazione, ma sottolineano che la semplificazione amministrativa non deve ridurre la tutela dei diritti fondamentali. Gli organi di regolamentazione ritengono che alcune delle modifiche proposte potrebbero compromettere la tutela degli individui nel contesto dell'intelligenza artificiale.

 

Notizie dai paesi membri dell'Unione europea.

In Grecia, l'Autorità per la protezione dei dati (DPA) ha emesso un avviso contro l'implementazione di un sistema di "polizia intelligente" che prevede l'utilizzo di dispositivi indossabili da parte delle pattuglie per determinare e verificare l'identità dei cittadini sottoposti a controlli sul posto tramite dati biometrici. La DPA considera tale trattamento illegale in quanto non espressamente previsto dalla legislazione vigente.

L'Autorità spagnola per la protezione dei dati (APD) ha multato il gruppo IDCQ Hospitals and Health per 1.200.000 euro. per aver cancellato troppo rapidamente i dati dei pazienti, il che le ha impedito di adempiere al suo obbligo di informare le persone interessate.

L'Autorità norvegese per la protezione dei dati (APD) ha multato Timegrip AS per 250.000 NOK (circa 25.000 euro) per aver negato illegalmente agli ex dipendenti l'accesso ai propri registri delle ore lavorate dopo il fallimento dell'azienda e per essersi presentata falsamente come un semplice subappaltatore pur esercitando un controllo effettivo sui dati personali.

In particolare, a seguito del fallimento, Timegrip ha assunto lo status di responsabile, essendo l'unica entità ad esercitare il controllo tecnico e pratico sui dati.

Il presidente dell'Autorità polacca per la protezione dei dati (APD) ha inflitto una sanzione amministrativa di 978.000 PLN (250.000 euro) a Poczta Polska SA per non aver garantito l'indipendenza del responsabile della protezione dei dati (DPO).

L'autorità di controllo ha riscontrato che la società aveva consentito un conflitto di interessi nello svolgimento delle funzioni del responsabile della protezione dei dati.

Nel Regno Unito, l'APD ha multato la ZMLUK Limited, una società di intermediazione finanziaria e agenzia pubblicitaria, per 105.000 sterline (120.000 euro) per aver inviato oltre 67 milioni di email di marketing diretto non richieste, senza il consenso degli interessati o senza una valida eccezione.

L'Autorità svedese per la protezione dei dati (APD) ha multato un subappaltatore, Sportadmin i Skandinavien AB, per 6.000.000 di corone svedesi (560.000 euro). Fornitore di servizi digitali per società e associazioni sportive, dopo che un attacco informatico ha esposto i dati personali di oltre 2,1 milioni di persone.

Il subappaltatore è stato ritenuto colpevole di non aver implementato misure di sicurezza sufficienti, in violazione dell'articolo 32 del GDPR.

Il governo svizzero intende ampliare la sorveglianza online rivedendo un'ordinanza sulla sorveglianza della corrispondenza postale e delle telecomunicazioni.

La proposta aumenterebbe significativamente la quantità di dati personali conservati, obbligando i grandi fornitori di servizi di comunicazione a conservare i metadati e imponendo requisiti di identificazione dell'utente praticamente a tutti i fornitori di servizi.

Queste organizzazioni dovrebbero conservare questi dati per almeno sei mesi e aiutare le forze dell'ordine a decifrarne il contenuto. Diciannove organizzazioni della società civile hanno inviato una lettera al Dipartimento federale di giustizia e di polizia svizzero esprimendo le loro preoccupazioni.

 

Nel Regno Unito, l'APD ha multato la ZMLUK Limited, una società di intermediazione finanziaria e agenzia pubblicitaria, per 105.000 sterline (120.000 euro) per aver inviato oltre 67 milioni di email di marketing diretto non richieste, senza il consenso degli interessati o senza una valida eccezione.

Il governo svizzero vuole ampliare la sorveglianza online mediante la revisione di un'ordinanza sulla sorveglianza della corrispondenza postale e delle telecomunicazioni.

La proposta aumenterebbe significativamente la quantità di dati personali conservati, obbligando i grandi fornitori di servizi di comunicazione a conservare i metadati e imponendo requisiti di identificazione dell'utente praticamente a tutti i fornitori di servizi.

Dovrebbero conservare questi dati per almeno sei mesi e aiutare le forze dell'ordine a decifrarne il contenuto.

Diciannove organizzazioni della società civile hanno inviato una lettera al Dipartimento federale di giustizia e polizia svizzero per esprimere le proprie preoccupazioni.

Il 3 febbraio 2026, la Commissione Giustizia della Camera dei Rappresentanti degli Stati Uniti ha pubblicato un rapporto che criticava l'European Digital Services Act (DSA), definendolo uno strumento di censura. "La minaccia della censura straniera, parte II: la campagna decennale dell'Europa per censurare Internet a livello globale e le sue conseguenze dannose per la libertà di espressione negli Stati Uniti"

In questo rapporto, diverse ONG europee, tra cui Bits of Freedom e Justice for Prosperity, vengono descritte come "ONG che promuovono la censura".

Cinque sanzioni, già segnalate in questa newsletter, sono già state imposte sotto forma di divieti di ingresso negli Stati Uniti a cittadini europei coinvolti nell'applicazione del DSA, nella ricerca e nella critica del potere delle piattaforme.

La Commissione europea ha risposto tramite il suo portavoce ricordando che il DSA attribuisce la responsabilità a chi di dovere, ovvero alle piattaforme online.

Il divieto australiano sull'uso dei social media per i minori di 16 anni è diventato un modello internazionale. nonostante le carenze individuate nelle prime fasi della sua attuazione. L'Unione Europea, il Regno Unito e gli Stati Uniti stanno quindi monitorando attentamente l'esperienza australiana, e alcuni paesi hanno già introdotto proposte legislative simili, come riportato dall'IAPP (International Association of Privacy Professionals) in un articolo del 5 febbraio.