L’instancabile Autorità Garante per la protezione dei dati francese, la Cnil, rende noto che sta lavorando a una bozza di raccomandazione sul filtraggio dei gateway web, meglio noti come proxy web.

L’intento del recente comunicato del 28 luglio 2025 è triplice. Facciamo il punto, mentre la Cnil apre alla consultazione pubblica che terminerà il 30 settembre 2025.

Il triplice intento del provvedimento della Cnil sui proxy web

Il provvedimento dell’Autorità Garante per la protezione dei dati francese ha un intento triplice: supportare i titolari del trattamento dei dati/professionisti, tutelare gli utenti e incoraggiare i fornitori ad adottare un approccio by design.

Infatti, è quanto mai necessario promuovere soluzioni di sicurezza informatica conformi al GDPR, tanto nell’utilizzo quanto nella progettazione, e non solo a parole. Così apre la linea guida pratica, per il momento in bozza, alla consultazione pubblica. Vediamo in che termini.

Proxy web, l’importanza delle raccomandazioni della Cnil

La raccomandazione nasce dalla necessità, palese alla Cnil, di supportare i titolari del trattamento dei dati nell’implementazione di soluzioni di proxy web conformi al GDPR.
Non solo, mira anche a supportare i fornitori di soluzioni nella implementazione delle migliori pratiche relative a questi strumenti di sicurezza.

Si tratta di soluzioni di filtraggio volte ad affrontare sfide cruciali sulla cyber security, e in particolare:

• impedire l’accesso a siti illegali o inappropriati, siano essi illegali (per esempio pedopornografia, terrorismo), fraudolenti e dannosi (come il phishing) o siti web il cui accesso è vietato dal datore di lavoro;
• prevenire attacchi informatici, in particolare tramite phishing o ransomware, che possono compromettere la sicurezza dei sistemi informativi dei titolari del trattamento.

Gateway web di filtraggio: cos’è e a che serve

Un gateway di filtraggio web è un dispositivo/servizio utilizzato al fine di controllare e monitorare l’accesso a internet, filtrando i contenuti web in base a criteri predefiniti.

La sua funzione principale è quella di bloccare l’accesso a determinati siti web o categorie di contenuti per motivi di sicurezza/conformità.

In generale, come si legge nel testo in questione, il proxy di filtraggio serve per:

• per proteggere il sistema informativo (IS) del titolare del trattamento dei dati (per esempio, limitazione dell’accesso a siti web illeciti, dannosi o non conformi), con rilevamento e blocco del contenuto dei flussi in entrata al fine di proteggere l’IS da payload di software dannosi;
• conservare la tracciabilità degli accessi degli utenti ai siti web bloccati o autorizzati.

Quindi, il “filtro web” blocca o consente l’accesso a siti specifici in base a blacklist o whitelist di URL.

A chi si applicano e a chi no

Le raccomandazioni (in bozza) della Cnil sono rivolte a tutti quei titolari di trattamento dati che, in qualità di datori di lavoro sia pubblici che privati, implementano un gateway web di filtraggio per proteggere la navigazione in internet sul proprio sistema informativo.

Si applica, quindi, nell’ambito dell’accesso “Wi-Fi professionale messo a disposizione dei visitatori negli stessi locali, anche quando non possono essere identificati (consulenti esterni, partner, visitatori del sito web del titolare del trattamento)”, si legge nel testo in bozza. In pratica, è limitato al contesto professionale.

Non si applicano, invece, agli accessi Wi-Fi pubblici aperti a tutti (hotspot Wi-Fi free) predisposti da negozianti, mediateche o altre organizzazioni per il pubblico.

Raccomandazioni (in bozza) della Cnil sui proxy web: una panoramica

Nel testo in bozza, la Cnil offre e pone alla consultazione pubblica alcune raccomandazioni in caso di implementazione di gateway web di filtraggio che contemplino:

• un’infrastruttura sotto il controllo del titolare del trattamento (distribuzione sul sito del titolare del trattamento o su un cloud privato);
• un software-as-a-service (distribuzione cloud in modalità SaaS a fornitore di servizi);
• sistema ibrido con richieste sul cloud della soluzione distribuita internamente per beneficiare in tempo reale degli ultimi Url categorizzati dall’editore solo nel caso in cui un Url richiesto dal dipendente non sia presente nel database locale.

Circa la soluzione SaaS, la Cnil raccomanda di controllare e supervisionare eventuali trasferimenti di dati al di fuori dell’Ue, con la previsione di clausole forti ex art. 28, garantire la possibilità di recuperare i log in caso di audit, nonchè la sicurezza dei fornitori per prevenire il rischio di violazioni dei dati (per esempio, perdita di log contenenti informazioni personali degli utenti) oltre a verificare che i log raccolti localmente e le informazioni siano conformi alla minimizzazione dei dati.

Circa invece la soluzione di un’implementazione ibrida, la Cnil raccomanda che gli scambi siano sicuri tra la soluzione implementata dal titolare del trattamento sul proprio sistema informativo e l’ideatore della soluzione (in particolare nel caso di scambi necessari per recuperare gli aggiornamenti degli Url) con implementazione della crittografia dei flussi.

Sicurezza soluzione di filtraggio e registrazione degli accessi: cosa raccomanda la Cnil

La Cnil si preoccupa poi di raccomandare che le soluzione di filtraggio web e la soluzione di registrazione degli accessi siano protette e sicure.

Per quanto riguarda il filtraggio, la Cnil raccomanda:

• che solo i nomi di dominio dei siti web bloccati e non categorizzati siano inviati per l’analisi, senza esser collegati alla persona interessata dal tentativo di accesso al sito (soluzione implementata on-premise);
• di limitare la possibilità per il fornitore di identificare gli utenti della soluzione di filtraggio, riservando, nel limite del possibile, al titolare del trattamento stesso l’hashing dei dati utente (in modalità SaaS).

Circa invece il journaling, cioè il “disboscamento”, la Cnil suggerisce di prevedere una buona clausola di riservatezza per gli amministratori di sistema, con la previsione dell’archiviazione dei log in un ambiente che garantisca sicurezza e privacy, con accesso ai log limitato, grazie ad un sistema di autenticazione a più fattori.

Proxy di filtraggio web conformi al GDPR

La Cnil intercetta quindi l’esigenza di rafforzare le soluzioni di cyber security e lo fa partendo dalla conformità al GDPR.

D’altra parte, l’attuale spinta verso la digitalizzazione dell’attività economica anche pubblica, espone i sistemi a un aumento significativo delle minacce informatiche, spesso troppo efficaci e assai complesse. Così anche le soluzioni per affrontarle devono evolversi e rafforzarsi.

Perciò, si utilizzano tecnologie più sofisticate che combinano l’AI con la condivisione e l’utilizzo di informazioni eterogenee, nel processo decisionale automatizzato, analizzando il comportamento degli utenti.

Tra queste soluzioni rientra senza dubbio il filtraggio dei gateway web (filtro Url e rilevamento/blocco di payload dannosi). Si tratta del proxy web che, per la funzione che in seno riveste, può contribuire a soddisfare quei requisiti di sicurezza dei dati richiesti dall’art. 32 del GDPR.

Naturalmente, perché ciò sia efficace deve essere letto e applicato in combinato disposto con l’art. 25 GDPR che impone la privacy by design (e by default) dopo aver informato gli utenti ai sensi e per gli effetti di cui all’art. 13.

Non solo, con la lente del GDPR per essere a norma un proxy di filtraggio web deve prevedere ancora:

• chiare finalità del trattamento che nello specifico risiedono nell’impedire l’accesso a siti web non conformi alla politica dell’organizzazione/a siti dannosi, oltre alla conservazione dei log di accesso (da sei mesi a un anno);
• corretta base giuridica del trattamento che nel caso di specie si ravvisa nel rispetto degli obblighi legali e normativi in materia di cyber security (art. 6, par. 1, lett. c) se non anche nel legittimo interesse del titolare del trattamento (art. 6, par. 1, lett. f);
• elaborazione di una valutazione d’impatto sulla protezione dei dati (DPIA) che si rende necessaria per una soluzione di gateway/proxy web filtrante sempre più sulla base delle funzionalità scelte e ai loro utilizzi, rammentando che è obbligatoria in caso di raccolta dati particolari, su larga scala, su persone fragili, in corso di monitoraggio sistematico).

Minimizzazione dei dati: whitelist e decrittografia Https

Ancora fondamentale è la procedura di minimizzazione dei dati nel sistema di proxy filtraggio web.

Come sappiamo, l’art. 5 del GDPR disciplina i vari principi, tra cui è di fondamentale importanza quello sulla minimizzazione a mente del quale il titolare del trattamento è tenuto ad attuare “misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ciascuna specifica finalità del trattamento”.

Quindi i dati raccolti, nel contesto che ci occupa, debbono essere strettamente limitati agli elementi necessari per le funzionalità di filtraggio e registrazione.

Alcuni esempi di dati che possono essere raccolti in questo contesto sono: quelli dell’utente (gestione dell’accesso web dell’utente o autenticazione il proxy web di filtraggio); l’indirizzo IP dell’utente; l’URL visualizzato, limitatamente al nome a dominio; il timestamp dell’accesso; la categoria del sito visitato; l’azione (consentita, bloccata o forzata, se questa possibilità è offerta agli utenti).

Per limitare i dati raccolti, i titolari del trattamento – suggerisce la Cnil – sono tenuti a configurare whitelist che escludano decrittografia HTTPS su siti che non presentano un rischio specifico al fine di limitare i dati personali che potrebbero essere conservati durante la registrazione degli accessi da parte della soluzione di filtraggio (banche, sanità, pubbliche amministrazioni, ecc.)”, come leggiamo testualmente – sebbene autotradotta – nella bozza di raccomandazione.

Mentre la decrittografia HTTPS è idonea a rilevare i file dannosi, nonché necessaria, purché effettuata solo su domini non elencati nelle whitelist.

I prossimi passi

La consultazione pubblica terminerà il 30 settembre 2025.
I contributi saranno analizzati al termine della consultazione pubblica per consentire la pubblicazione della raccomandazione finale, dopo la sua adozione da parte del collegio della Cnil.

Non ci resta che attendere, ma ancora una volta l’autorità francese si è dimostrata un passo avanti.