Il GDPR impone alle organizzazioni pubbliche e private l’adozione di misure di sicurezza che risultino efficaci nella salvaguardia (da attacchi e negligenze) dei dati personali che vengono conservati ed utilizzati, attraverso i diversi strumenti informatici di cui l’organizzazione dispone (database, software, asset IT forniti ai dipendenti ecc.): tra le misure di sicurezza che possono essere adottate, uno strumento ormai imprescindibile consiste nel controllo dei sistemi aziendali – e degli utenti che vi accedono – attraverso attività di monitoraggio dei log dei dipendenti.
Consultando i registri dei log è possibile, infatti, risalire agilmente ad anomalie negli accessi ai sistemi informatici e reperire importanti informazioni sulle attività svolte sui sistemi.
Tali controlli devono essere tuttavia svolti nel rispetto delle regole e dei principi imposti dal GDPR (e quindi dalla normativa sulla protezione dei dati personali), nonché dalle norme che predispongono garanzie volte a tutelare la dignità dei lavoratori.
Vediamo, dunque, quali sono le regole da rispettare e le best practice da seguire nell’adozione di questa importante misura di sicurezza, senza rischiare di incorrere in violazioni che possono comportare pesanti sanzioni di carattere civile e penale.
Indice degli argomenti
Cosa sono i file di log e perché sono così importanti
Il termine log viene comunemente utilizzato per identificare sia la registrazione sequenziale e cronologica delle operazioni effettuate da un utente, un amministratore o automatizzate, man mano che vengono eseguite dal sistema informatico, sia il file (c.d. registro eventi) su cui tale registrazioni sono memorizzate e che possono essere consultate per finalità di amministrazione e monitoraggio.
Attraverso il registro dei log è possibile dunque monitorare le attività che vengono effettuate sul sistema informativo aziendale. Gli accessi a cartelle di rete condivise o mail aziendali, le attività svolte dal dipendente in un determinato lasso temporale, i tentativi di accesso fraudolento ai sistemi aziendali e molte altre informazioni vengono infatti sistematicamente annotate sul registro dei log.
Come è facile intuire, tale strumento risulta sicuramente molto utile in ottica di protezione dei sistemi informativi aziendali e dei dati personali che su questi sistemi possono essere conservati.
Attraverso la consultazione dei registri è possibile difatti ricondurre determinate attività al soggetto che le ha compiute. Allo stesso tempo si tratta di uno strumento che può rendere più incisivo ed ampio il potere di controllo sui dipendenti da parte del datore di lavoro (o dei superiori gerarchici).
I log come misura di protezione dei dati personali
Avere a disposizione un affidabile registro dei file di log permette di analizzare eventuali problemi relativi a un dato sistema e di intervenire prontamente per risolverli.
Allo stesso tempo la registrazione dei file di log permette di individuare agevolmente accessi non autorizzati ad una rete o ad un archivio, o a ricostruire le dinamiche di un data breach (violazione di dati personali).
In ottica di accountability (principio sancito dall’art. 5, par. 2 del GDPR) l’adozione di uno strumento di log management rappresenta quindi un importante strumento, utile a dimostrare l’impegno del titolare nella tutela dei propri archivi e sistemi.
Ricordiamo, inoltre, che è ancora vigente il Provvedimento del Garante Privacy, del 27 novembre 2008, che impone il tracciamento e la conservazione dei log di quei soggetti che svolgono funzioni di amministratori di sistema.
Si tratta di quelle figure professionali che gestiscono e manutengono sistemi informatici attraverso cui vengono effettuati trattamenti di dati personali. La registrazione dei log, nelle modalità previste dal provvedimento del Garante, è quindi da considerarsi attualmente obbligatoria per questi soggetti. Resta invece facoltativa ma, ad avviso dello scrivente, fortemente consigliata per tutti quei soggetti (interni o esterni all’organizzazione) che nello svolgimento delle loro mansioni accedono e trattano dati personali.
Monitoraggio dei log dei dipendenti: regole e principi
Il tracciamento dei file di log deve necessariamente confrontarsi con i principi e le disposizioni vigenti poste a protezione dei dati personali (alias “privacy”) e dei lavoratori.
Il monitoraggio delle attività svolte dai dipendenti comporta infatti un trattamento di dati personali di questi soggetti, da sempre considerati ontologicamente “deboli”. È necessario quindi che il titolare si doti di sistemi e procedure di monitoraggio dei log che rispecchino un adeguato bilanciamento di interessi tra le esigenze di sicurezze dell’organizzazione e quelle di riservatezza dei dipendenti.
Per poter raccogliere e utilizzare i file di log devono essere necessariamente rispettati alcuni principi generali, sanciti dal GDPR (v. art. 5, par. 1), ai quali corrispondono delle azioni che il titolare deve intraprendere:
- principio di trasparenza: secondo tale principio il soggetto cui i dati personali vengono raccolti deve essere adeguatamente e preventivamente informato sugli aspetti fondamentali del trattamento. Ciò si traduce in una informativa sul trattamento dei dati personali che deve essere fornita a dipendenti, amministratori di sistema e a tutti gli altri soggetti cui i file di log vengono raccolti e conservati. Tale informativa dovrà contenere le informazioni minime previste dall’art. 13 del GDPR;
- principio di limitazione della finalità: il trattamento dei dati riguardanti il lavoratore deve essere finalizzato al perseguimento di interessi legittimi da parte del datore di lavoro, quali, ad esempio, la prevenzione o la repressione di comportamenti illeciti. L’utilizzo delle informazioni raccolte deve essere quindi giustificato da una finalità legittima. Non lo è, come si vedrà più avanti, il controllo a distanza dell’operato dei dipendenti.
- principio di proporzionalità o minimizzazione dei dati: i dati raccolti devono risultare proporzionati rispetto alla finalità perseguita. Il trattamento di dati che eccedono, o che comunque non trovano giustificazione nel perseguimento dello scopo, sono da considerarsi trattati irregolarmente.
- principio di limitazione della conservazione: i dati devono essere conservati solo per un arco di tempo necessario al perseguimento delle finalità. In linea generale i tempi di conservazione dei file di log dovranno quindi essere correlati rispetto alle attività svolte ed alle caratteristiche oggettive dell’organizzazione. Per i log connessi alle attività degli amministratori di sistema, una indicazione dei tempi minimi ci viene fornita dal Provvedimento del Garante Privacy del 2008, che prevede una conservazione dei log per un tempo non inferiore ai sei mesi.
- principi di integrità e riservatezza: il sistema di log management deve offrire garanzie di accuratezza, integrità ed immodificabilità. Allo stesso tempo è fondamentale che l’accesso ai registri di log sia consentito solo a soggetti appositamente individuati e che tale accesso sia tracciato, protetto da credenziali univoche e giustificato da esigenze connesse alla sicurezza dei sistemi.
Monitoraggio dei log dei dipendenti: attenti alle sanzioni
Un utilizzo non conforme a tali principi comporterebbe una violazione delle norme sulla protezione dei dati personali, con il rischio per l’organizzazione (impresa o P.A.) di incorrere nelle pesanti sanzioni pecuniarie previste dall’art. 83, par. 5 del GDPR, che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo dell’impresa.
Non sono infine da sottovalutare i profili sanzionatori derivanti dalle norme del diritto del lavoro e in particolare dagli artt. 4 e 38 dello Statuto dei Lavoratori (L. 300/1970). Nel caso in cui le informazioni raccolte tramite file di log vengano utilizzate per effettuare un controllo a distanza dei lavoratori, l’art. 38 prevede anche delle sanzioni di carattere penale per il datore di lavoro (ammenda o arresto).
