archivio con file

Il Log Management in Azienda e i Requisiti con il GDPR

Introduzione

Il GDPR implica delle sostanziali modifiche al modo di rapportarsi con i log file: se prima erano una necessità per amministratori di sistema, ed in certi casi già un obbligo, con il GDPR diventano uno strumento necessario e a cui le aziende non possono rinunciare. Vediamo nel dettaglio come cambia la normativa e che cosa implica per le aziende.

Il presente articolo è diviso in due parti:

  • Parte 1: la normativa relativa ai log nel GDPR
  • Parte 2: i log file in pratica

 

Parte 1: la normativa relativa ai log nel GDPR

Cosa sono i file di log e come cambiano nel GDPR

Abbiamo già dato una definizione di log file, qui ci basti ricordare che un log file contiene l’intera “storia” delle operazioni effettuate da un utente o da una macchina.

In un log file, infatti, vengono registrate tutte le operazioni, in ordine cronologico, svolte nel normale utilizzo di un software, di un applicativo o più semplicemente di un computer. Il log file registra anche tutte le operazioni che un computer svolge in autonomia, senza necessità di intervento umano.

Il punto interessante nell’ambito della normativa GDPR, è che il GDPR non ha abrogato le norme precedenti, vediamo quindi quale novità ha introdotto rispetto alle norme precedenti, che rimangono attive.

 

Normativa precedente al GDPR

Le norme precedenti, in particolare il “Codice in materia di protezione dei dati personali” (Decreto Legislativo 30 giugno 2003, n. 196) e il Regolamento Generale sulla Protezione dei Dati (regolamento UE n. 2016/679), non parlano esplicitamente di log file, né prevedono obblighi di registrazione sulle operazioni effettuate sui dati personali.

 

Cosa introduce il GDPR

Con il GDPR viene previsto, per la prima volta a livello normativo, l’obbligo, in capo al titolare del trattamento, di dimostrare il rispetto della normativa anche senza riferimento esplicito termine Log, ma vedremo che questa è l’unica soluzione possibile.

Analizzando nello specifico la disciplina, il primo comma dell’articolo 5 si limita a prevedere una serie di principi (in parte già previsti dal Codice Privacy) applicabili al trattamento dei dati personali.  Tra questi si possono ricordare:

  • i principi di liceità, correttezza e trasparenza (lettera a);
  • il principio di limitazione della finalità (lettera b);
  • il principio di minimizzazione dei dati (lettera c);
  • il principio di esattezza (lettera d);
  • il principio di limitazione dei dati (lettera e);
  • il principio di integrità e riservatezza (lettera f).

È il secondo comma a segnare la svolta introducendo il principio di responsabilizzazione. Infatti non solo stabilisce che il “titolare è competente per il rispetto del paragrafo 1” e quindi è tenuto a rispettare tutti i principi relativi al trattamento dei dati, ma aggiunge che deve essere “in grado di comprovarlo”. In altri termini non solo il titolare deve applicare i principi posti a tutela dell’interessato, ma deve anche porsi nella condizione di dimostrare di averli rispettati.

Quindi possiamo dire che c’è stato un passo avanti tra il Codice Privacy e il GDPR. Con il GDPR non è sufficiente rispettare la normativa, come accadeva prima, ma occorre lasciare una traccia dell’operato del titolare del trattamento dei dati. È questa norma che istituisce quello che viene definito doppio binario: da una parte i titolari del trattamento devono compiere tutte le attività necessarie per salvaguardare gli interessati; dall’altra devono “registrare” le prove degli adempimenti in caso di ispezioni da parte delle autorità competenti.

 

In altre parole, la normativa richiede che resti una traccia di ogni operazione effettuata sui dati, di modo che, in caso di ispezione, sia dimostrabile che sono state poste in essere tutte le tutele ritenute idonee.

Ed è proprio qui che entra in gioco la necessità di salvare i log file.

 

La necessità legale di salvare i file di log

Già prima del GDPR le aziende potevano ricorrere ai log file per dimostrare un corretto comportamento. E l’Autorità Garante per la Privacy ha ritenuto, in diversi procedimenti, sufficiente da parte dell’azienda la dimostrazione di una determinata azione attraverso un file di log.

Un ottimo esempio è il provvedimento n. 1378152 del 20 dicembre 2006. In questo provvedimento un utente si lamenta di aver ricevuto una mail non richiesta. L’azienda si difende mostrano il log file che dimostra che l’utente si è registrato alla newsletter

L’Autorità Garante per la Privacy si è pronunciata a favore dell’azienda argomentando:

“avendo la resistente fornito alle stesse un sufficiente riscontro ed avendo comunicato, in particolare, con attestazione della cui veridicità l’autore risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni e notificazioni al Garante”), l´origine del dato personale relativo all’indirizzo e-mail del ricorrente sostenendo che lo stesso è stato acquisito, a seguito di registrazione, sul sito Internet “http://…”

Questo esempio mostra in maniera chiara che, quando si affronta a livello legale l’Autorità Garante per la Privacy, la prova di aver trattato i dati correttamente deve essere data attraverso la produzione dei Log. In altre parole, i Log hanno lo stesso valore, in un processo, delle impronte digitali.

 

Gli altri obblighi imposti dall’Autorità Garante per la Privacy

Tra le misure di sicurezza ritenute necessarie dall’Autorità Garante si possono citare:

  • sistemi di autenticazione forte (strong authetication), in modo da poter accertare che l’utente sia realmente chi dice di essere;
  • sistemi di autorizzazione di modo che solo determinate categorie di utenti vi possano accedere;
  • cancellazione dei dati trascorso un dato periodo di tempo
  • cifratura dei dati in casi particolarmente delicati.

In sostanza l’Autorità prescrive quali sono gli obblighi che un titolare del trattamento deve rispettare al fine di ridurre al minimo il rischio che gli interessati possano subire un danno.

 

L’obbligo di mantenere file di audit

Accanto a queste norme di sicurezza l’Autorità Garante prescrive sempre la tenuta di Audit Log e la ragione è molto semplice. Si pensi al caso in cui un soggetto non autorizzato forzi il sistema e riesca ad accedere a un dato personale o ancora al caso in cui un soggetto autorizzato tratti un dato per finalità eccedenti il consenso prestato.

In questi casi sarebbe del tutto inutile prevedere delle misure di sicurezza avanzate se poi non fosse possibile individuare il soggetto che abbia commesso le violazioni, sanzionarlo e porre in essere le misure idonee perché il fatto non si ripeta.

Possiamo fare due esempi, tra i tanti possibili:

  1. il medico che per poter accedere al fascicolo sanitario elettronico di un paziente non suo, forzi l’accesso al database
  2. il funzionario dell’agenzia delle entrate che visioni l’anagrafe tributaria di un soggetto per mera curiosità.

Attraverso un file di audit sarà possibile ricostruire le azioni illecite.

 

Che forma devono avere i file di log

Per il Garante della Privacy non è sufficiente tenere traccia delle operazioni riguardanti i dati, ma i log file devono anche avere le seguenti caratteristiche:

 

  • Completezza, ossia riguardare sia il tipo di operazione riguardante i dati (compreso l’accesso e la consultazione), sia i soggetti che compiono detta operazione;
  • inalterabilità e quindi immodificabilità, in caso contrario sarebbe sufficiente modificare il file cancellando l’accesso o l’operazione in violazione;
  • verificabilità devono cioè consentire il controllo del corretto utilizzo dei dati.

Ovviamente è necessario anche che i Log tengano traccia dell’orario in cui la determinata operazione è stata eseguita.

Conseguenze in caso di mancata registrazione dei log

Stabilito l’obbligo di tenuta dei Log sia alla luce della normativa vigente, sia a seguito delle pronunce dell’Autorità Garante, è opportuno chiedersi quali possono essere le conseguenze in caso di mancata ottemperanza.

Se nel trattare dei dati personali non si rispetta il GDPR, e quindi anche l’obbligo di conservazione dei log, il titolare o il responsabile del trattamento, sono tenuti a risarcire i danni patrimoniali e non patrimoniali subiti dall’interessato.

Questa norma è definita dall’articolo 82 del GDPR: “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Si tratta della norma che, probabilmente, ha fatto più scalpore nella riforma GDPR, perché anche prima c’erano degli obblighi, ma ora le conseguenze hanno un impatto economico decisamente importante.

L’unico modo per l’azienda di proteggersi è proprio di avere una registrazione attraverso log file, che consente di scagionarsi in due modi opposti ma entrambi legati ai file di log:

  • se la violazione riguarda proprio la mancata o errata conservazione dei Log, risulta pressoché impossibile dimostrare la non imputabilità dell’evento dannoso al titolare
  • se la violazione attiene a un altro aspetto del GDPR, si può ipotizzare che i Log possano essere la prova dell’estraneità del titolare dall’evento dannoso.

Questo secondo punto è particolarmente importante per le aziende. Un buon esempio è il caso in cui un dipendente tratti i dati in violazione del regolamento: se il titolare del trattamento ha posto in essere tutte le misure di sicurezza ritenute idonee, è ragionevole pensare che possa dimostrare la sua innocenza attraverso i Log, i quali possono attestare il coinvolgimento esclusivo del dipendente e non del titolare.

 

Responsabilità civile in caso di violazioni

Sono due in particolare gli articoli che definiscono le sanzioni amministrative in caso di violazioni del regolamento.

  • L’articolo 58 del GDPR stabilisce che l’autorità di controllo ha sia il potere di imporre una limitazione anche definitiva al trattamento in violazione fino al totale divieto di trattamento, sia il potere di infliggere una sanzione amministrativa pecuniaria.
  • L’articolo 83 stabilisce i criteri per determinare l’importo di detta sanzione fissando quale massimo la somma di 20.000.000 di euro o del 4% del fatturato mondiale totale annuo dell’esercizio precedente, nel caso si tratti di imprese.

In definitiva l’Autorità Garante può sia vietare a un soggetto di trattare i dati personali, di fatto limitandone di molto l’operato, sia infliggere sanzioni di importo particolarmente elevato.

 

Responsabilità penale

Una violazione al GDPR può anche determinare responsabilità penali.

In realtà il già vigente Codice Privacy prevede delle sanzioni penali agli articoli 167 (trattamento illecito dei dati), 168 (falsità nelle dichiarazioni al Garante e 169 (inosservanza dei provvedimenti del Garante). Di questi reati sicuramente risponderà l’autore materiale, si pensi al dipendente incaricato del trattamento, ma la responsabilità penale potrebbe estendersi anche al titolare del trattamento.

 

Conclusione prima parte

Abbiamo ampiamente evidenziato come i Log consentono sia di prevenire la commissione di violazioni grazie alla loro funzione preventiva sia attengono a quelle misure di sicurezza ritenute necessarie dal GDPR.

 

Parte 2: I file di log in pratica

Le operazioni da fare per essere a norma in azienda

Per essere a norma con il GDPR, un’azienda deve compiere essenzialmente tre operazioni:

  1. Registrare file di log in maniera conforme al GDPR
  2. Conservare gli stessi file di log per un periodo di 60 giorni e garantire questa conservazione (ad es. attraverso backup)
  3. Marcare temporalmente i file di log

Vediamo nello specifico di cosa si tratta e come effettuare ciascuna di queste operazioni.

Registrare i file di log in maniera conforme al GDPR

Per creare correttamente i file di log è necessario un sistema in grado di generarli automaticamente, sarebbe infatti impossibile (e comunque non conforme) crearli “a mano”.

E’ quindi necessario un software che, opportunamente collegato ad una rete aziendale, si occupi di registrare tutte le operazioni e di salvarle appunto in file di log. Questo software deve creare i file di log secondo le specifiche indicate sopra.

Mantenere i file di log ed effettuare il backup

Una volta creato, il file di log deve essere mantenuto correttamente ed inalterato. Sarebbe troppo facile infatti modificare a mano un file di log per manomettere un’operazione o falsificare un’informazione.

Il file di log inoltre deve essere correttamente e costantemente salvato in un backup. Questo, in base a quanto detto nella prima parte, è un interesse anche per l’azienda, perché in caso di una violazione che vada anche a manomettere sistemi aziendali, dovremo assicurarci che i log file funzionino come una scatola nera, e siano quindi reperibili in un luogo terzo, esterno alla rete aziendale (ma ugualmente protetto e certificato), per risalire all’accaduto.

La marcatura temporale dei file di log

Una  Marca Temporale è un servizio che permette di associare data e ora certe e legalmente valide a un documento garantendone la validità nel tempo. La marca temporale deve essere quindi “certificata”.

Ogni file di log deve essere marcato temporalmente, deve quindi riportare una firma digitale che ne attesta la non alterazione dopo una certa data. Sarebbe infatti troppo facile per un’azienda andare a modificare un file di log facendo risultare un’azione anziché un’altra.

Attraverso la marca temporale ci si garantisce che quella registrazione, avvenuta in quel determinato giorno o momento, sia effettivamente inalterata.

Conclusione

Le aziende devono dotarsi di sistemi adeguati di registrazione dei log file sia per essere a norma con il regolamento GDPR sia per tenere sotto controllo tutti i sistemi aziendali e gli utenti in maniera efficace.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *