La legge Privacy (D.Lgs. 196/03)

La legge privacy (D.Lgs. 196/03) non impone un obbligo generalizzato ed esplicito di gestione dei log tranne nei casi già descritti separatamente e relativi a specifici settori o trattamenti regolamentati con provvedimenti ad hoc come quelli in materia di “amministratori di sistema” e “conservazione di dati di traffico telefonico e telematico”. Questa normativa impone dei principi generali e delle garanzie per il trattamento dei log nei casi in cui possano essere identificati come dati personali.

Riferimenti normativi di interesse sono quelli relativi agli artt. 31, 32, 33 che impongono l’adozione di misure minime e idonee di sicurezza secondo le indicazioni dell’Allegato B che è il disciplinare tecnico di riferimento per le modalità operative di adozione delle misure di sicurezza. All’interno della legge non si parla esplicitamente di log e l’importanza della loro conservazione si può desumere solo in relazione agli obblighi di adottare sistemi di autenticazione e di autorizzazione degli utenti che accedono a dati personali.

La normativa stabilisce che, in caso di trattamenti non conformi, un titolare è tenuto al risarcimento di eventuali danni (materiali e immateriali… ossia anche dell’eventuale danno psicologico) se non prova di aver adottato tutte le misure idonee di sicurezza in relazione alle conoscenze tecnologiche e al tipo di dati trattati. Un sistema di autenticazione e un sistema di autorizzazione dovrebbero presupporre pertanto la possibilità di avere i log degli accessi per verificare la correttezza delle impostazioni e l’efficacia delle limitazioni imposte nonché per analizzare possibili tentativi di accesso non autorizzati.

La legge privacy impone anche il cambio obbligatorio e periodico delle password (a meno di utilizzare token hardware) per cui un’azienda dovrebbe  essere in grado di dimostrare, per non essere sanzionabile, che tali operazioni siano state svolte regolarmente e ciò si può fare solo mediante la conservazione dei log di sistema e garantendo la loro “originalità e autenticità”.

E’ proprio nell’adozione delle misure di sicurezza che nasce l’esigenza di bilanciare le esigenze di sicurezza con il rispetto dei principi “privacy” che  impongono limitazioni nella quantità e tipologia di dati raccolti nonché la protezione degli archivi di dati creati; il punto di equilibrio può essere ottenuto anche mediante opportune garanzie tecniche che i sistemi di log management devono garantire per la protezione dell’accesso ai log e per le modalità di acquisizione e conservazione sicure degli stessi log.

Oltre al testo base della legge, sono stati emanati nel tempo una serie di provvedimenti che possono riguardare la gestione dei log in particolari ambiti aziendali anche se non viene imposto un obbligo di conservazione. In particolare è vietato ai “titolari” (titolari secondo la definizione di legge) di effettuare controlli indiscriminati e generalizzati sulla navigazione web e sull’uso delle email dei dipendenti richiamando quanto previsto dallo statuto dei lavoratori. Per i controlli che si rendessero comunque necessari, sono imposti documenti informativi interni e controlli proporzionati con attenzione a limitare al minimo le persone autorizzate ad accedere ai log e ad adottare adeguate misure di sicurezza per garantirne la riservatezza e pertanto diventano fondamentali le caratteristiche tecniche dei sistemi di log management utilizzati al fine di soddisfare tali richieste.