Visto che monta la discussione su metadati e posta credo che occorra fare un minimo di chiarezza su alcune cose.
Lo so in parte ho già scritto in merito, ma:
semel in anno licet ribadire 🤣
insomma piu o meno
Vi ricordo che tutto parte dalle indicazioni garantite dal garante di cui parlo qui sotto:
in cui è solita la crisi sul:
Insomma la favola dei 7+2 che sta appassionando l’etere.
La questione sarebbe semplice se si sapesse di cosa si parla, ma visto le evoluzioni correnti, dubbi, imprecazioni e salamelecchi vari occorre seguire la cosa con un pochino più di attenzione.
Ora mi balza all’occhio un altra nota del garante su un provvedimento contro un sito di incontri:
https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9983384#2
in questo provvedimento sembrerebbe che il garante chieda esattamente l’opposto di quanto espresso per le email.
Si legge infatti:
Insomma come a dire che i log non li devi tenere ma li devi tenere, ed oltretutto inalterabili, per non tracciare ma tracciare quello che fanno i dipendenti.
Ed oltretutto tracciare anche l’accesso ai Log stessi e medesimi.
Altro che monitoraggio delle attività del lavoratore 🤣
Ora il fatto che si tratti di un provvedimento verso un sito che vive di incontri da tenere segreti non credo sia il punto dirimente.
Il punto dirimente è che la giustificazione delle motivazioni di ritenzione di log e metadati è, paradossalmente, data dal garante stesso quando fa queste richieste.
Occorre infatti ripetere, repetita iuvant sed secant, che le indicazioni del garante (che in quanto indicazioni NON sono un obbligo) in merito ai metadati della posta elettronica facevano riferimento ad un aspetto specifico inerente lo statuto dei lavoratori
Per quello che concerne il GDPR già l’articolo 32 darebbe ampia giustificazione alla retention di metadati e log nelle esigenze di sicurezza e ripristino:
Art 32: “Sicurezza del trattamento”
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
=> Articolo: 24
a) la pseudonimizzazione e la cifratura dei dati personali;
=> Articolo: 4
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
E tali richieste sono rimarcate nella esigenza di avere un controllo puntuale dei dati e di chi vi accede.
Ma, per tornare al punto della posta, tali richieste coincidono sia con il doversi tenere i metadati
/che ricordo sono in gran parte, parte integrante del messaggio di posta /
che di gestire con precisione ed efficacia il tracciamento di chi a questi dati accede.
In altre parole, a meno di non voler limitare a 7+2 giorni, le caselle di posta elettronica la risposta alle indicazione del garante è, mi sento di poter affermare con confidenza:
Teneteli questi dati se servono alla sicurezza e mantenimento del sistema (ex Art. 32 GDPR), dati che si trovano NON solo nei log delle soluzioni ma condivisi anche e sopratutto per motivi di sicurezza (pensate anche ai SIEM1 magari)
Ma, come dovreste comunque fare, giustificate il tutto in maniera sensata.
PS: e ricordatevi del DLP già che ci siete.
- SIEM (security information and event management) si riferisce ad una serie di prodotti software e servizi che combinano/integrano le funzionalità offerte dai SIM (security information management) a quelle dei SEM (security event management). Il SIEM in breve, è una soluzione che consente alle organizzazioni di rilevare, analizzare e rispondere alle minacce di sicurezza prima che compromettano le operazioni aziendali.. ↩︎
Related Posts via Taxonomies
To the official site of Related Posts via Taxonomies.
Discover more from The Puchi Herald Magazine
Subscribe to get the latest posts sent to your email.
Di Log in Log: un garante è per sempre by The Puchi Herald Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
You must be logged in to post a comment.