Di Log in Log: un garante è per sempre

Visto che monta la discussione su metadati e posta credo che occorra fare un minimo di chiarezza su alcune cose.

Lo so in parte ho già scritto in merito, ma:

semel in anno licet ribadire 🤣

insomma piu o meno

Vi ricordo che tutto parte dalle indicazioni garantite dal garante di cui parlo qui sotto:

Garante & email: se 7 giorni vi sembran pochi

in cui è solita la crisi sul:

ma allora i metadati?
e l’altra metà dei dati?

I legal e DPO

Insomma la favola dei 7+2 che sta appassionando l’etere.

La questione sarebbe semplice se si sapesse di cosa si parla, ma visto le evoluzioni correnti, dubbi, imprecazioni e salamelecchi vari occorre seguire la cosa con un pochino più di attenzione.

Ora mi balza all’occhio un altra nota del garante su un provvedimento contro un sito di incontri:

https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9983384#2

in questo provvedimento sembrerebbe che il garante chieda esattamente l’opposto di quanto espresso per le email.

Si legge infatti:

Insomma come a dire che i log non li devi tenere ma li devi tenere, ed oltretutto inalterabili, per non tracciare ma tracciare quello che fanno i dipendenti.

Ed oltretutto tracciare anche l’accesso ai Log stessi e medesimi.

Altro che monitoraggio delle attività del lavoratore 🤣

Ora il fatto che si tratti di un provvedimento verso un sito che vive di incontri da tenere segreti non credo sia il punto dirimente.

(e comunque lo so con che account vi siete registrati 😂)

l’acaro

Il punto dirimente è che la giustificazione delle motivazioni di ritenzione di log e metadati è, paradossalmente, data dal garante stesso quando fa queste richieste.

Occorre infatti ripetere, repetita iuvant sed secant, che le indicazioni del garante (che in quanto indicazioni NON sono un obbligo) in merito ai metadati della posta elettronica facevano riferimento ad un aspetto specifico inerente lo statuto dei lavoratori

Per quello che concerne il GDPR già l’articolo 32 darebbe ampia giustificazione alla retention di metadati e log nelle esigenze di sicurezza e ripristino:

Art 32: “Sicurezza del trattamento”

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
   => Articolo: 24
   a) la pseudonimizzazione e la cifratura dei dati personali;
   => Articolo: 4
   b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
   c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
   d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

E tali richieste sono rimarcate nella esigenza di avere un controllo puntuale dei dati e di chi vi accede.

Ma, per tornare al punto della posta, tali richieste coincidono sia con il doversi tenere i metadati

/che ricordo sono in gran parte, parte integrante del messaggio di posta /

che di gestire con precisione ed efficacia il tracciamento di chi a questi dati accede.

In altre parole, a meno di non voler limitare a 7+2 giorni, le caselle di posta elettronica la risposta alle indicazione del garante è, mi sento di poter affermare con confidenza:

Teneteli questi dati se servono alla sicurezza e mantenimento del sistema (ex Art. 32 GDPR), dati che si trovano NON solo nei log delle soluzioni ma condivisi anche e sopratutto per motivi di sicurezza (pensate anche ai SIEM magari)

Ma, come dovreste comunque fare, giustificate il tutto in maniera sensata.

PS: e ricordatevi del DLP già che ci siete.

1. SIEM (security information and event management) si riferisce ad una serie di prodotti software e servizi che combinano/integrano le funzionalità offerte dai SIM (security information management) a quelle dei SEM (security event management). Il SIEM in breve, è una soluzione che consente alle organizzazioni di rilevare, analizzare e rispondere alle minacce di sicurezza prima che compromettano le operazioni aziendali.. ↩︎

Related Posts via Taxonomies

• Garante & email: se 7 giorni vi sembran pochi
• Sicurezza ICT a Roma 16 Febbraio
• Il ventre molle dell’IT italiana: la sicurezza
• Posta: nel frattempo nel mondo reale SPF, DKIM e DMARC
• The email Files: Blocklisting, la sottile arte di farsi del male da soli
• The email Files: Safelisting email? Poi non lamentarti!
• Guida al GDPR per chi non ne vuol sapere: raschia raschia rimane il rischio ?
• Caro HR Manager: Storia di un CV e della sua privacy (GDPR lo dici a tua sorella)
• l’AGICOMica in audizione fa del “vero” un mappazzone
• 8 Marzo – March 8

To the official site of Related Posts via Taxonomies.

Di Log in Log: un garante è per sempre by The Puchi Herald Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.