Log management e GDPR, come sono legati?

Come sono legati log management e GDPR? Quando alcuni anni fa venne emanato il “Provvedimento degli ADS” (27 novembre 2008, pubblicato sulla G.U. n. 300 del 24 dicembre 2008) non ci fu un grande consenso perché fu giudicato poco utile. La richiesta del provvedimento fu solo quella di tracciare i login, i logout ed i tentativi di login da parte dei soli ADS su tutti i sistemi informatici.

Con l’introduzione del GDPR, però, l’utilità del tracciamento degli accessi non passa più in secondo piano. Anzi, diventa fondamentale per adempiere a quanto richiesto dalla normativa in materia di trattamento dei dati personali.

Perché il log management diventa importante all’interno del GDPR?

Quando il Regolemanto GDPR era alle porte ed è esploso il bisogno di adeguarsi alla normativa, nel tentativo di seguire il trend, sono stati riesumati molti prodotti per il log management andati nel dimenticatoio. Molti di questi ovviamente non nascevano dalla privacy e di conseguenza non erano molto efficaci nella gestione della compliance GDPR.

Il GDPR impone un principio fondamentale: l’accountability. Ossia la responsabilizzazione per chi effettua un trattamento dei dati personali di dover dimostrare che, in caso di sospette violazioni, siano state compiute tutte le azioni di tutela possibili. Per questo motivo le organizzazioni che vogliono essere compliant al GDPR, sono costrette a rivedere il loro modo di rapportarsi anche con la gestione dei log.

In quest’ottica di accountability infatti (art. 5, par. 2 del GDPR) l’adozione di uno strumento di log management rappresenta un importante strumento, utile a dimostrare l’impegno del titolare nella tutela dei propri archivi e sistemi informatici. Proprio perché il principio stesso spinge alla rendicontazione delle attività, i titolari del trattamento devono dotarsi di strumenti di questo tipo per poter dimostrare in caso di violazioni, di aver fatto il possibile per tutelare il dati.

Quali sono gli altri principi dell’art 5?

L’art 5 del GDPR inoltre elenca altri principi generali che si legano alle attività di log management:

• Trasparenza: gli interessati, in questo caso i lavoratori, dovranno essere preventivamente ed adeguatamente informati in merito alle attività di trattamento che avvengono sui propri dati personali. Per l’adempimento di tale prescrizione sarà necessario redigere e mettere a disposizione degli interessati un’informativa che abbia il contenuto previsto dall’art. 13 del GDPR.
• Limitazione della finalità: il trattamento di dati personali deve avere scopi legittimi, lo è il perseguimento della sicurezza delle informazioni, non lo è il monitoraggio delle attività lavorative.
• Minimizzazione dei dati: è lecito raccogliere esclusivamente le informazioni strettamente necessarie al perseguimento delle finalità.
• Limitazione della conservazione: i dati devono essere conservati solo per un arco di tempo necessario al perseguimento delle finalità. In linea generale i tempi di conservazione dei file di log dovranno quindi essere correlati rispetto alle attività svolte ed alle caratteristiche oggettive dell’organizzazione. Per i log connessi alle attività degli amministratori di sistema, un’indicazione dei tempi minimi ci viene fornita dal Provvedimento ADS del Garante Privacy del 2008, che prevede una conservazione dei log per un tempo non inferiore ai 6 mesi.
• Integrità e riservatezza: il sistema di log management deve offrire garanzie di accuratezza, integrità ed immodificabilità del log. Allo stesso tempo è fondamentale che l’accesso ai registri di log sia consentito solo a soggetti appositamente individuati e che tale accesso sia tracciato, protetto da credenziali univoche e giustificato da esigenze connesse alla sicurezza dei sistemi.

Sanzioni

L’articolo 58 del GDPR stabilisce che l’autorità di controllo ha sia il potere di imporre una limitazione, anche definitiva, al trattamento in violazione fino al totale divieto di trattamento, sia il potere di infliggere una sanzione amministrativa pecuniaria. L’articolo 83 stabilisce poi, i criteri per determinare l’importo di detta sanzione fissando quale tetto massimo la somma di 20.000.000 di euro o del 4% del fatturato mondiale totale annuo dell’esercizio precedente, nel caso si tratti di imprese.

Una violazione al GDPR, però, può determinare anche responsabilità penali. Il già vigente Codice Privacy prevede delle sanzioni penali agli articoli 167 (trattamento illecito dei dati), 168 (falsità nelle dichiarazioni al Garante e 169 (inosservanza dei provvedimenti del Garante). Di questi reati risponderà indubbiamente l’autore materiale, si pensi al dipendente incaricato del trattamento, ma ciò non esclude che la responsabilità penale possa estendersi anche al titolare del trattamento.

È importante ricordare, quindi, come dotarsi di sistemi adeguati di registrazione dei log file è per le aziende fondamentale, non solo per essere a norma con il GDPR, ma anche per migliorare la sicurezza di tutti i sistemi aziendali e monitorare gli utenti in maniera efficace.

Vuoi maggiori informazioni sui software di log management, contattaci compilando il form!