GDPR Articolo 32: Come Dimostrare di Condividere Documenti in Sicurezza
Published on 22 aprile 2026
L'Articolo 32 del GDPR richiede alle organizzazioni di implementare misure di sicurezza tecniche e organizzative appropriate quando trattano dati personali. Per i team finanziari che condividono documenti esternamente, questo significa crittografare i dati in transito e a riposo, controllare chi può accedere ai documenti e mantenere registrazioni che dimostrino che le misure di sicurezza sono in atto. Questo articolo spiega esattamente cosa richiede l'Articolo 32 e come dimostrare la conformità.
Cosa Richiede Effettivamente l'Articolo 32
L'Articolo 32(1) elenca le misure che i titolari e i responsabili del trattamento devono considerare, tenendo conto dello stato dell'arte, dei costi di implementazione e dei rischi posti dal trattamento. Queste includono:
- Pseudonimizzazione e crittografia dei dati personali
- La capacità di garantire la riservatezza, integrità, disponibilità e resilienza continua dei sistemi di trattamento
- La capacità di ripristinare l'accesso ai dati personali in modo tempestivo dopo un incidente fisico o tecnico
- Un processo per testare, valutare e verificare regolarmente l'efficacia delle misure di sicurezza
La frase "misure appropriate" è significativa. I regolatori non si aspettano gli stessi controlli da una società di consulenza di due persone rispetto a una banca sistemicamente importante. Lo standard è proporzionato al tuo profilo di rischio, alla sensibilità dei dati e al potenziale danno ai soggetti interessati se si verifica una violazione.
I Quattro Controlli Tecnici che Soddisfano l'Articolo 32 per la Condivisione dei Documenti
Per i team che condividono documenti con clienti, controparti o consulenti, quattro controlli tecnici formano la base di un approccio conforme all'Articolo 32.
Crittografia in transito e a riposo. Ogni documento trasferito su Internet dovrebbe essere crittografato utilizzando TLS 1.2 o superiore. I documenti memorizzati sui server dovrebbero essere crittografati a riposo, con AES-256 come attuale standard del settore. Se invii documenti come allegati email, non hai alcuna garanzia che una delle due condizioni sia soddisfatta.
Controlli di accesso. Solo i destinatari autorizzati dovrebbero essere in grado di aprire un documento. Questo significa utilizzare link di accesso unici piuttosto che URL pubblicamente accessibili, richiedere la verifica dell'email o una password prima che l'accesso venga concesso e impostare date di scadenza per i link in modo che l'accesso non possa persistere indefinitamente.
Audit logging. L'Articolo 32 richiede che tu possa dimostrare che le tue misure di sicurezza funzionano. Un registro di audit che registra chi ha accesso a un documento, quando, da quale indirizzo IP o posizione, e per quanto tempo fornisce quella prova. Senza di esso, non puoi dimostrare la conformità anche se i tuoi controlli sono solidi.
Residenza dei dati. Per i soggetti dei dati dell'UE, il trattamento dei loro dati personali su server situati al di fuori dello Spazio Economico Europeo introduce un rischio di trasferimento ai sensi del Capitolo V del GDPR. Ospitare documenti su infrastrutture dell'UE rimuove questo rischio e semplifica la tua posizione di conformità.
Costruire il Tuo Pacchetto di Prove per l'Articolo 32
Se un'autorità di vigilanza indaga sulle tue pratiche di condivisione dei documenti, si aspetterà di vedere prove, non solo affermazioni. Il tuo pacchetto di prove dovrebbe includere:
- Un Accordo di Trattamento dei Dati con ciascuna piattaforma che utilizzi per condividere documenti, confermando le misure di sicurezza del responsabile del trattamento.
- Registrazioni di configurazione della sicurezza che mostrano che la crittografia, i controlli di accesso e il logging sono attivi nel tuo strumento di condivisione dei documenti.
- Esempi di registri di audit che dimostrano il livello di dettaglio catturato per ciascun evento di accesso.
- Una valutazione del rischio o DPIA che documenta perché le misure scelte sono appropriate per le categorie di dati che condividi.
- Registrazioni degli incidenti, anche se gli incidenti erano minori, che mostrano che monitori, rilevi e rispondi agli eventi di sicurezza.
Come una Piattaforma di Condivisione Documenti Genera Prove per l'Articolo 32
Utilizzare una piattaforma di condivisione documenti appositamente progettata piuttosto che email o archiviazione cloud generale semplifica notevolmente la conformità all'Articolo 32. Ogni link di documento condiviso può generare un registro di audit automatico, e le certificazioni di infrastruttura della piattaforma servono come prova di terze parti dei controlli tecnici in atto.
Con SendNow, ogni link di documento genera un registro di accesso dettagliato. Puoi esportare questi registri per qualsiasi documento e presentarli come parte del tuo pacchetto di prove per l'Articolo 32. Combinato con la crittografia AES-256 di SendNow, l'infrastruttura ospitata nell'UE e le impostazioni predefinite di controllo degli accessi, la piattaforma fornisce il livello tecnico su cui si basano le tue misure organizzative.
Checklist di Conformità all'Articolo 32 per la Condivisione dei Documenti
| Requisito | Come Soddisfarlo |
|---|---|
| Crittografia in transito | TLS 1.2+ applicato a tutti i link dei documenti |
| Crittografia a riposo | AES-256 su tutti i documenti memorizzati |
| Limitazione dell'accesso | Link protetti da email o password |
| Scadenza del link | Scadenza automatica dopo un periodo definito |
| Audit logging | Registri di accesso con timestamp per documento |
| Residenza dei dati UE | Documenti ospitati su server UE |
| DPA con il responsabile | DPA firmato con il fornitore di condivisione documenti |
| Test di sicurezza | Revisione annuale delle impostazioni di sicurezza della piattaforma |
Per un approfondimento specifico sui registri di audit, leggi Come Mantenere un Audit Trail Conforme al GDPR. Per il framework completo, consulta la nostra Guida Completa alla Condivisione di Documenti GDPR e Crittografia AES-256 per la Condivisione di Documenti Spiegata.
Inizia a generare prove per l'Articolo 32 oggi stesso. Ogni documento condiviso tramite SendNow è automaticamente registrato, crittografato e ospitato nell'UE. Visita sendnow.live per vedere come funziona.
Domande Frequenti
D: L'Articolo 32 si applica sia alla condivisione di documenti che ai dati memorizzati? R: Sì. L'Articolo 32 si applica a tutti i trattamenti di dati personali, che includono il trasferimento di documenti contenenti dati personali a parti esterne. L'atto di condivisione è un'attività di trattamento e deve soddisfare lo stesso standard di sicurezza della memorizzazione.
D: Cosa significa "appropriato" in termini di sicurezza secondo l'Articolo 32? R: L'appropriatezza è valutata rispetto ai rischi. Per i team finanziari che condividono dati riservati dei clienti, il livello di rischio è alto, quindi lo standard delle misure di sicurezza attese è di conseguenza elevato. La crittografia AES-256, i controlli di accesso e il logging degli audit rappresentano le attuali migliori pratiche per questo livello di rischio.
D: Posso fare affidamento sulla sicurezza di un destinatario se invio loro un documento? R: No. Una volta che un documento esce dal tuo controllo, la postura di sicurezza del destinatario è di sua responsabilità. Il tuo obbligo ai sensi dell'Articolo 32 è quello di garantire la sicurezza del trasferimento stesso. Utilizzare un link crittografato e controllato piuttosto che un allegato email limita la tua esposizione una volta che il documento è stato consegnato.
D: L'email crittografata è sufficiente per la conformità all'Articolo 32? R: L'email standard non è sufficiente. Sebbene TLS crittografi l'email in transito tra i server, gli allegati non sono crittografati a riposo sul server del destinatario, non c'è logging degli accessi e non puoi revocare l'accesso una volta inviato. Gli strumenti di condivisione documenti appositamente progettati forniscono controlli significativamente più robusti.
D: Dobbiamo aggiornare la nostra valutazione dell'Articolo 32 quando cambiamo strumenti di condivisione documenti? R: Sì. L'Articolo 32 è un obbligo vivo. Cambiare la tua piattaforma di condivisione documenti è un cambiamento materiale nel tuo ambiente di trattamento e dovrebbe innescare una revisione delle tue misure tecniche e, se necessario, un aggiornamento della DPIA.
D: Cosa succede se un'autorità di vigilanza trova inadeguate le nostre misure per l'Articolo 32? R: Possono emettere un'ordinanza correttiva che richiede di migliorare le tue misure e, nei casi gravi, possono imporre una sanzione amministrativa fino a 10 milioni di EUR o il 2% del fatturato annuo globale ai sensi dell'Articolo 83(4).
D: Utilizzare un fornitore conforme al GDPR soddisfa automaticamente l'Articolo 32? R: No. La conformità del tuo fornitore è una condizione necessaria ma non sufficiente. Devi anche configurare lo strumento correttamente e implementare misure organizzative come la formazione del personale e una politica di condivisione dei documenti. La conformità all'Articolo 32 richiede entrambi i livelli.
D: Con quale frequenza dovremmo testare le nostre misure di sicurezza dei documenti? R: L'Articolo 32(1)(d) richiede esplicitamente un processo per testare e valutare regolarmente le misure di sicurezza. Il test annuale è un minimo per la maggior parte delle organizzazioni. Dopo qualsiasi cambiamento materiale alla tua piattaforma o alle attività di trattamento, una revisione immediata è prudente.
Ready to share documents smarter?
Start tracking who reads your documents, page by page. Free trial, no credit card required.
Get Started for Free →