Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta log. Mostra tutti i post
Visualizzazione post con etichetta log. Mostra tutti i post

mercoledì 14 febbraio 2024

Di Log in Log: un garante è per sempre

Visto che monta la discussione su metadati e posta credo che occorra fare un minimo di chiarezza su alcune cose.

Lo so in parte ho già scritto in merito, ma:

semel in anno licet ribadire 🤣

insomma piu o meno

Vi ricordo che tutto parte dalle indicazioni garantite dal garante di cui parlo qui sotto:

in cui è solita la crisi sul:

ma allora i metadati?
e l’altra metà dei dati?

I legal e DPO

Insomma la favola dei 7+2 che sta appassionando l’etere.

La questione sarebbe semplice se si sapesse di cosa si parla, ma visto le evoluzioni correnti, dubbi, imprecazioni e salamelecchi vari occorre seguire la cosa con un pochino più di attenzione.

Ora mi balza all’occhio un altra nota del garante su un provvedimento contro un sito di incontri:

https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9983384#2

in questo provvedimento sembrerebbe che il garante chieda esattamente l’opposto di quanto espresso per le email.

Si legge infatti:

Insomma come a dire che i log non li devi tenere ma li devi tenere, ed oltretutto inalterabili, per non tracciare ma tracciare quello che fanno i dipendenti.

Ed oltretutto tracciare anche l’accesso ai Log stessi e medesimi.

Operazione illegittima di modifica dei Log 😂

Altro che monitoraggio delle attività del lavoratore 🤣

Ora il fatto che si tratti di un provvedimento verso un sito che vive di incontri da tenere segreti non credo sia il punto dirimente.

(e comunque lo so con che account vi siete registrati 😂)

l’acaro

Il punto dirimente è che la giustificazione delle motivazioni di ritenzione di log e metadati è, paradossalmente, data dal garante stesso quando fa queste richieste.

Occorre infatti ripetere, repetita iuvant sed secant, che le indicazioni del garante (che in quanto indicazioni NON sono un obbligo) in merito ai metadati della posta elettronica facevano riferimento ad un aspetto specifico inerente lo statuto dei lavoratori

Per quello che concerne il GDPR già l’articolo 32 darebbe ampia giustificazione alla retention di metadati e log nelle esigenze di sicurezza e ripristino:

Art 32: “Sicurezza del trattamento”

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    => Articolo: 24
    a) la pseudonimizzazione e la cifratura dei dati personali;
    => Articolo: 4
    b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

E tali richieste sono rimarcate nella esigenza di avere un controllo puntuale dei dati e di chi vi accede.

Ma, per tornare al punto della posta, tali richieste coincidono sia con il doversi tenere i metadati

/che ricordo sono in gran parte, parte integrante del messaggio di posta /

che di gestire con precisione ed efficacia il tracciamento di chi a questi dati accede.

In altre parole, a meno di non voler limitare a 7+2 giorni, le caselle di posta elettronica la risposta alle indicazione del garante è, mi sento di poter affermare con confidenza:

Teneteli questi dati se servono alla sicurezza e mantenimento del sistema (ex Art. 32 GDPR), dati che si trovano NON solo nei log delle soluzioni ma condivisi anche e sopratutto per motivi di sicurezza (pensate anche ai SIEM1 magari)

Ma, come dovreste comunque fare, giustificate il tutto in maniera sensata.

PS: e ricordatevi del DLP già che ci siete.

Salute