Con l’entrata in vigore del GDPR, i file di log sono diventati uno strumento importante per le Aziende per garantire e dimostrare una effettiva compliance al Regolamento Europeo sulla protezione dei dati.
Prima dell’entrata in vigore del GDPR, l’unico obbligo di adozione di un sistema di gestione dei log era previsto all’interno del Provvedimento dell’Autorità Garante per la Protezione dei dati personali del 27 novembre 2008, modificato con Provvedimento del 25 giugno 2009 ed attualmente in vigore, [ Ndr. ad oggi ancora in vigore] per tener traccia delle azioni compiute dagli amministratori di sistema.
L’Autorità Garante per la Protezione dei dati personali, nel provvedimento, ha precisato che i file di log devono rispondere a specifici requisiti:
- la completezza, ovvero il log file deve contenere tutti gli eventi compiuti dagli amministratori di sistema su tutti i componenti del sistema informativo;
- l’inalterabilità, ovvero l’immodificabilità nel tempo del contenuto dei log file;
- la verificabilità, ovvero la capacità dei log file di consentire il controllo del corretto utilizzo dei dati.
Il suddetto provvedimento imponeva di registrare le operazioni di accesso, inclusi i tentativi di accesso falliti, nonché le operazioni di disconnessione dai sistemi hardware o software, per verificare la liceità delle operazioni compiute nel rispetto delle normative e delle policy aziendali.
Con l’avvento del GDPR, la gestione dei log da parte delle aziende diventa necessaria per dimostrare il rispetto della normativa a tutela dei dati personali. Infatti, una corretta gestione dei Log permette di ricostruire il funzionamento dell’apparato informatico permettendo di attribuire eventuali responsabilità in caso di errore o violazioni di legge o individuare falle o punti deboli in caso di attacco informatico.
L’importanza di dimostrare la compliance al GDPR rientra nel principio di accountability di cui all’art. 5 Gdpr, questo comporta che il titolare dei dati deve, non solo, avere un sistema di trattamento dati conforme ai regolamento, ma anche poter provare il pieno rispetto delle normative. Per questo motivo sempre più realtà stanno utilizzando i file di log per rispettare il principio di accountability.
Nonostante l’utilità rappresentata dai file di log, è necessario che si adottino delle accortezze affinché gli stessi non comportino una violazione del Regolamento Europeo 2016/679 e non configuri un eventuale controllo a distanza dei lavoratori.
Infatti, se un controllo intenzionale sull'attività dei dipendenti è sicuramente vietato, un controllo imposto da concrete esigenze organizzative, produttive o di sicurezza è invece possibile a determinate condizioni (i cosiddetti controlli difensivi, ossia quelli posti in essere per tutelare l'azienda da comportamenti colposi o dolosi posti in essere dei dipendenti e in grado di danneggiarla).
Per poter legittimamente raccogliere ed in particolare utilizzare i file di log, infatti, devono essere necessariamente rispettati alcuni principi generali ed in particolare:
- Il principio di trasparenza: il datore di lavoro deve sempre informare i propri dipendenti sull'utilizzo che previsto dei file di log e sulle motivazioni che lo rendono necessario
- Principio di finalità: il trattamento dei dati riguardanti il lavoratore deve essere finalizzato al perseguimento di interessi legittimi da parte del datore di lavoro e non deve infrangere i diritti fondamentali dei lavoratori (sono da considerarsi legittimi ad esempio, i controlli tesi a garantire la continuità aziendale, a prevenire problemi di sicurezza ed a reprimere i reati)
- Principio di proporzionalità: i dati personali risultanti dall'attività di raccolta dei file di log devono risultare adeguati, pertinenti e non eccessivi ai fini del conseguimento dello scopo prefigurato
- Principio di sicurezza: il datore di lavoro deve adottare le misure di sicurezza logiche ed organizzative per garantire che qualsiasi dato personale da lui detenuto sia sicuro e protetto contro intrusioni dall'esterno
I principi sopra esaminati costituiscono in realtà un'esplicitazione delle norme di legge ed i particolare del codice sulla privacy e dello Statuto dei Lavoratori e la loro osservanza è anche condizione necessaria per non incorrere nelle sanzioni, anche di carattere penale, dalle stesse previste.
In ultimo dovrà essere prevista una data retention policy per la conservazione dei File di Log, che non dovranno essere conservati per tempi ulteriori alla necessità per cui sono acquisiti. Bisogna ricordare infatti, che sebbene i file di log siano uno strumento utile per dimostrare l'accountability da parte del titolare del trattamento, rappresentano anche un possibile rischio per la società ove gli stessi non siano correttamente gestiti, potendo anche esporre il Titolare a sanzioni di natura penale e amministrativa.