Conservazione dei Log: misura di sicurezza o violazione della privacy?

La normativa ad oggi applicabile a tutti i soggetti, pubblici e privati, che, per qualsiasi ragione (anche fosse esclusivamente per la gestione del personale e per la tenuta della contabilità) compiano trattamenti di informazioni personali impone di adottare adeguate misure di sicurezza allo scopo di garantire la riservatezza, integrità e disponibilità di tali informazioni, ovunque queste siano conservate.

Tra le misure di sicurezza che possono essere implementate c’è sicuramente l’attività di monitoraggio dei log dei dipendenti.

L’attività in parola viene spesso vista come di facile ed economica implementazione, in quanto per tutte le aziende che abbiamo un amministratore di sistema (quelle figure professionali che gestiscono e manutengono sistemi informatici attraverso cui vengono effettuati trattamenti di dati personali) sono obbligate alla tenuta dei log degli stessi e pertanto sono spesso già in possesso di software e strumenti adatti al monitoraggio dei log dei dipendenti.

Quali sono i vantaggi?

L’adozione di una simile misura presenta certamente una serie di vantaggi per il titolare del trattamento, tanto operativi quanto in ottica di compliance:

  • Attraverso il registro dei log è possibile dunque monitorare le attività che vengono effettuate sul sistema informativo aziendale. Gli accessi a cartelle di rete condivise o mail aziendali, le attività svolte dal dipendente in un determinato lasso temporale, i tentativi di accesso fraudolento ai sistemi aziendali e molte altre informazioni vengono infatti sistematicamente annotate sul registro dei log. Consultando i registri dei log è possibile, infatti, risalire agilmente ad anomalie negli accessi ai sistemi informatici e reperire importanti informazioni sulle attività svolte sui sistemi.
  • Avere a disposizione un affidabile registro dei file di log permette di analizzare eventuali problemi relativi a un dato sistema e di intervenire prontamente per risolverli.
  • Allo stesso tempo la registrazione dei file di log permette di individuare agevolmente accessi non autorizzati ad una rete o ad un archivio, o a ricostruire le dinamiche di un data breach (violazione di dati personali).
  • In ottica di accountability (principio sancito dall’art. 5, par. 2 del GDPR) l’adozione di uno strumento di log management rappresenta quindi un importante strumento, utile a dimostrare l’impegno del titolare nella tutela dei propri archivi e sistemi.

Le regole da rispettare

I vantaggi sono innegabili, ma simili attività di monitoraggio comportano un ulteriore trattamento di dati personali, che deve pertanto avvenire nel rispetto dei principi e delle disposizioni della normativa vigente.

Il principio cardine nel caso di attività che possano in qualche modo comportare una forma di controllo nei confronti dei lavoratori è quello del bilanciamento degli interessi rispettivamente alla sicurezza dell’organizzazione e alla riservatezza dei lavoratori.

E’ assolutamente fondamentale che il datore di lavoro rispetti i principi generali elencati dal’art. 5 del GDPR:

  • trasparenza: Gli interessati, in questo caso i lavoratori, dovranno essere preventivamente ed adeguatamente informati in merito alle attività di trattamento che avvengono sui propri dati personali. Per l’adempimento di tale prescrizione sarà necessario redarre e mettere a disposizione degli interessati una informativa che abbia il contenuto previsto dall’art. 13 del GDPR.
  • limitazione della finalità: Il trattamento di dati personali deve avere scopi legittimi, lo è il perseguimento della sicurezza delle informazioni, non lo è il monitoraggio delle attività lavorative.
  • minimizzazione dei dati: é lecito raccogliere esclusivamente le informazioni strettamente necessarie al perseguimento delle finalità.
  • limitazione della conservazione: i dati devono essere conservati solo per un arco di tempo necessario al perseguimento delle finalità. In linea generale i tempi di conservazione dei file di log dovranno quindi essere correlati rispetto alle attività svolte ed alle caratteristiche oggettive dell’organizzazione. Per i log connessi alle attività degli amministratori di sistema, una indicazione dei tempi minimi ci viene fornita dal Provvedimento del Garante Privacy del 2008, che prevede una conservazione dei log per un tempo non inferiore ai sei mesi.
  • integrità e riservatezza: il sistema di log management deve offrire garanzie di accuratezza, integrità ed immodificabilità. Allo stesso tempo è fondamentale che l’accesso ai registri di log sia consentito solo a soggetti appositamente individuati e che tale accesso sia tracciato, protetto da credenziali univoche e giustificato da esigenze connesse alla sicurezza dei sistemi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Torna in alto