L’entrata in vigore del Regolamento Europeo 2016/679, noto come “GDPR”, ha indotto le aziende e i liberi professionisti a ridefinire le proprie politiche di trattamento dei dati personali, adottando soluzioni destinate ad implementare i profili di sicurezza dei sistemi informativi impiegati nella gestione delle informazioni.
In questo contesto si inserisce la scelta di impiegare sistemi di “log management”, ovvero sistemi che, mediante la registrazione e il salvataggio dei cosiddetti “log file”, consentono di tracciare il complesso di attività compiute attraverso l’impiego dei dispositivi elettronici.
Indice degli argomenti
Log file: cosa sono e a cosa servono
I log file consistono in file di testo all’interno dei quali vengono memorizzate, in ordine cronologico, le operazioni compiute dai sistemi ovvero le operazioni compiute dagli utenti sui computer o su altri dispostivi hardware, nonché sulle applicazioni software.
In altri termini, mediante i log file è possibile ricostruire l’iter di operazioni che hanno riguardato un determinato sistema informativo consentendo; in particolar modo, il tracciamento delle eventuali anomalie o minacce che potrebbero colpire i sistemi, compromettendo, di conseguenza, la sicurezza delle informazioni collocate all’interno degli asset informatici.
In particolare, il contenuto dei log file consiste in una sequenza di record che vengono scritti, in maniera sequenziale, all’interno del file stesso sino al momento del suo salvataggio.
Tali record sono generalmente composti dall’indicazione della data ed ora in cui una determinata operazione è stata compiuta su un sistema informatico, dalle informazioni relative all’utente che ha eseguito l’operazione, dall’indicazione del tipo di operazione compiuta, nonché dalle informazioni relative all’esito dell’operazione medesima.
In concreto la registrazione e conservazione dei log file si realizza mediante l’impiego di specifici software di log management che, inseriti all’interno dell’architettura di rete aziendale, consentono, tipicamente, la gestione centralizzata dei log file mediante un apposito server all’interno del quale vengono veicolati i log file provenienti dalle diverse componenti, hardware e software, appartenenti alla medesima infrastruttura IT.
Occorre precisare come, ai fini di una corretta tracciatura delle operazioni compiute mediante l’impiego di dispositivi o applicativi informatici, sia necessario garantire (tramite protocollo NTP) la sincronizzazione degli orologi sui vari dispositivi che compongono l’infrastruttura IT; in alternativa, nel corso dell’analisi dei log file, si rischia di alterare il reale ordine temporale degli eventi registrati.
Tipicamente i log file registrati e conservati mediante i software di log management devono essere sottoposti procedure di backup allo scopo di garantire la ridondanza delle informazioni relative alle operazioni eseguite sui sistemi.
Infatti, in caso di inaccessibilità dei log file originali, laddove ad esempio gli stessi risultassero corrotti o cancellati, sarà possibile “ripristinarli” mediante le copie di backup.
I log file nella disciplina previgente al GDPR
Anteriormente all’entrata in vigore del GDPR, il Decreto Legislativo n. 196 del 30 giugno 2003, altrimenti conosciuto come “Codice per la protezione dei dati personali”, non contemplava un espresso e generalizzato obbligo di impiego dei sistemi di log management allo scopo di tracciare le operazioni di trattamento compiute mediante l’impiego di sistemi informatici.
L’obbligo di adozione di sistemi di gestione dei log era invece definito all’interno del Provvedimento dell’Autorità Garante per la Protezione dei dati personali del 27 novembre 2008, modificato con Provvedimento del 25 giugno 2009 ed attualmente in vigore, limitatamente alle operazioni compiute dai cosiddetti amministratori di sistema, nel cui ambito si intendono incluse le figure professionali preposte alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, nonché gli amministratori di basi di dati, di reti, di apparati di sicurezza e di sistemi software complessi.
L’Autorità Garante per la Protezione dei dati personali, peraltro, precisa che i log file debbano rispondere alle seguenti caratteristiche:
- la completezza, ovvero il log file deve contenere tutti gli eventi compiuti dagli amministratori di sistema su tutti i componenti del sistema informativo;
- l’inalterabilità, ovvero l’immodificabilità nel tempo del contenuto dei log file;
- la verificabilità, ovvero la capacità dei log file di consentire il controllo del corretto utilizzo dei dati.
Tuttavia, l’obbligo previsto dal succitato Provvedimento di registrare le operazioni di accesso, inclusi i tentativi di accesso falliti, nonché le operazioni di disconnessione dai sistemi hardware o software, si pone, di fatto, come meccanismo volto a verificare la correttezza delle attività compiute dagli amministratori di sistema, nonché la loro conformità all’impianto di misure di sicurezza prescritte dalla normativa o dalle policy aziendali.
GDPR: log file e il principio di accountability
Con l’entrata in vigore del GDPR, i log file si sganciano dalle esigenze di controllo dell’operato degli amministratori di sistema, acquisendo più ampia portata nell’ottica di protezione dei dati personali.
Seppur non espressamente menzionato all’interno del GDPR, l’obbligo di registrazione e conservazione dei log file discende direttamente dal principio cardine della nuova normativa in materia di trattamento dei dati personali, ovvero dal principio di accountability, specificatamente individuato dall’art. 24, par. 1 del GDPR.
Il principio di accountability (letteralmente “principio di responsabilizzazione”) pone, infatti, in capo al titolare del trattamento l’onere di provare la conformità della propria struttura organizzativa e procedurale in ambito privacy alla normativa di settore.
Coerentemente con il principio di accountability, l’art. 32 del GDPR impone al titolare e al responsabile del trattamento (fornitore di uno specifico servizio) il compito di individuare, implementare ed aggiornare un sistema di misure di sicurezza tecniche ed organizzative idonee a proteggere i dati personali da potenziali rischi quali la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso, accidentale o illegale, ai dati personali.
A seguito dell’applicazione del GDPR, infatti, il titolare ed il responsabile del trattamento passano dall’essere i meri esecutori di un “pacchetto standard” di misure di sicurezza minime individuate dal legislatore all’interno dell’ormai abrogato Allegato B del Codice per la protezione dei dati personali, al ricoprire il ruolo di “ideatori e creatori” del sistema di sicurezza finalizzato alla protezione dei dati personali.
Resta in ogni caso inteso che, nell’individuazione e nell’applicazione delle misure di sicurezza tecniche ed organizzative, titolari e responsabile del trattamento non potranno prescindere dal considerare una serie di parametri oggettivi individuati dal legislatore europeo, quali ad esempio la natura, l’oggetto e le finalità del trattamento dei dati personali.
Di conseguenza, il principio di accountability, unitamente al connesso obbligo di individuazione e applicazione delle misure di sicurezza, comporta l’onere, in capo a chi tratta dati personali mediante l’impiego di un sistema informativo, di dotarsi di un meccanismo, quale appunto un sistema di log management, capace di tracciare e conservare le informazioni riguardanti le operazioni compiute sui sistemi e che impattano direttamente sui dati personali.
L’importanza assunta dai log file nell’ambito del nuovo quadro normativo in materia privacy è peraltro confermata dal contenuto dell’art. 33 del GDPR, il quale disciplina l’obbligo per il titolare del trattamento di notificare l’avvenuta violazione dei dati personali all’Autorità Garante per la Protezione dei dati personali, entro le 72 ore successive al momento della conoscenza della violazione stessa.
Pertanto, a seguito del verificarsi di un incident sulla sicurezza che possa, anche solo potenzialmente, compromettere i dati personali oggetto di trattamento, è necessario attuare una vera e propria “procedura di indagine” volta ad acquisire le necessarie informazioni relative all’incident e a valutare la configurabilità di una violazione dei dati personali rilevante ai fini della normativa privacy vigente.
Appare evidente come il ricorso ai log file consenta di semplificare una tale procedura di indagine e di ridurne drasticamente i tempi, tanto più che, generalmente, i sistemi di log management sono dotati di meccanismi di alert che si attivano in presenza di anomalie, violazioni o minacce.
Efficacia probatoria dei log file nel processo civile
A questo punto è opportuno chiedersi quali garanzie fornisca, nell’ambito di un procedimento civile, un log file e di conseguenza l’adozione di un sistema di log management.
Il log file non è altro che un documento informatico.
In quanto documento informatico, al log file si applica la disciplina prevista dall’art. 2712 del Codice civile in base alla quale “le riproduzioni informatiche fanno piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”
In concreto, in applicazione dell’art. 20, comma 1-bis del Decreto Legislativo n. 82 del 7 marzo 2005, noto come “Codice Amministrativo Digitale”, il giudice civile ha facoltà di valutare il valore probatorio del documento informatico, tenendo conto delle caratteristiche di sicurezza, integrità e immodificabilità del documento medesimo.
Ai fini della validità del documento informatico e quindi della sua effettiva utilizzabilità in giudizio, è necessario ricorrere a due strumenti idonei a garantire la provenienza del log file, la sua attendibilità, nonché la non alterazione nel tempo del contenuto del log file. Tali strumenti consistono nella firma digitale e nella marcatura temporale.
In particolare, l’apposizione della firma digitale al log file attribuisce a quest’ultimo la medesima efficacia probatoria della scrittura privata, la quale, ai sensi dell’art. 2702 del Codice civile, “fa piena prova della provenienza delle dichiarazioni da chi l’ha sottoscritta”.
Parallelamente, l’apposizione della marca temporale al log file garantisce la validità nel tempo della firma digitale. La marcatura temporale, infatti, consiste in una procedura che permette di associare data ed ora certe e legalmente valide ad un documento informatico, consentendo, quindi, di attribuirgli una validazione temporale opponibile a terzi.
Conclusioni
I log file rappresentano uno strumento capace di “fotografare” le operazioni compiute sui sistemi informatici e quindi sui dati personali. Se correttamente “sfruttati”, i log file consentono di garantire la sicurezza dell’infrastruttura informatica e la lecita gestione dei dati personali.
Sotto il profilo puramente pratico, i log file costituiscono strumenti di troubleshooting (letteralmente “eliminazione del problema”), utili ai sistemisti o agli amministratori di rete per eseguire una corretta manutenzione ed eventuale riparazione del sistema informatico.
