SOLUZIONI PRIVACY

La gestione dei log file, post GDPR: la soluzione alle esigenze di protezione dei dati personali

I log file rappresentano uno strumento capace di “fotografare” le operazioni compiute sui sistemi informatici e quindi sui dati personali. Se correttamente “sfruttati”, consentono di garantire la sicurezza dell’infrastruttura informatica e la conseguente lecita gestione dei dati personali

06 Ago 2019
M
Flavia Maltoni

Data Protection Consultant

L’entrata in vigore del Regolamento Europeo 2016/679, noto come “GDPR”, ha indotto le aziende e i liberi professionisti a ridefinire le proprie politiche di trattamento dei dati personali, adottando soluzioni destinate ad implementare i profili di sicurezza dei sistemi informativi impiegati nella gestione delle informazioni.

In questo contesto si inserisce la scelta di impiegare sistemi di “log management”, ovvero sistemi che, mediante la registrazione e il salvataggio dei cosiddetti “log file”, consentono di tracciare il complesso di attività compiute attraverso l’impiego dei dispositivi elettronici.

Log file: cosa sono e a cosa servono

I log file consistono in file di testo all’interno dei quali vengono memorizzate, in ordine cronologico, le operazioni compiute dai sistemi ovvero le operazioni compiute dagli utenti sui computer o su altri dispostivi hardware, nonché sulle applicazioni software.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

In altri termini, mediante i log file è possibile ricostruire l’iter di operazioni che hanno riguardato un determinato sistema informativo consentendo; in particolar modo, il tracciamento delle eventuali anomalie o minacce che potrebbero colpire i sistemi, compromettendo, di conseguenza, la sicurezza delle informazioni collocate all’interno degli asset informatici.

In particolare, il contenuto dei log file consiste in una sequenza di record che vengono scritti, in maniera sequenziale, all’interno del file stesso sino al momento del suo salvataggio.

Tali record sono generalmente composti dall’indicazione della data ed ora in cui una determinata operazione è stata compiuta su un sistema informatico, dalle informazioni relative all’utente che ha eseguito l’operazione, dall’indicazione del tipo di operazione compiuta, nonché dalle informazioni relative all’esito dell’operazione medesima.

In concreto la registrazione e conservazione dei log file si realizza mediante l’impiego di specifici software di log management che, inseriti all’interno dell’architettura di rete aziendale, consentono, tipicamente, la gestione centralizzata dei log file mediante un apposito server all’interno del quale vengono veicolati i log file provenienti dalle diverse componenti, hardware e software, appartenenti alla medesima infrastruttura IT.

Occorre precisare come, ai fini di una corretta tracciatura delle operazioni compiute mediante l’impiego di dispositivi o applicativi informatici, sia necessario garantire (tramite protocollo NTP) la sincronizzazione degli orologi sui vari dispositivi che compongono l’infrastruttura IT; in alternativa, nel corso dell’analisi dei log file, si rischia di alterare il reale ordine temporale degli eventi registrati.

Tipicamente i log file registrati e conservati mediante i software di log management devono essere sottoposti procedure di backup allo scopo di garantire la ridondanza delle informazioni relative alle operazioni eseguite sui sistemi.

Infatti, in caso di inaccessibilità dei log file originali, laddove ad esempio gli stessi risultassero corrotti o cancellati, sarà possibile “ripristinarli” mediante le copie di backup.

I log file nella disciplina previgente al GDPR

Anteriormente all’entrata in vigore del GDPR, il Decreto Legislativo n. 196 del 30 giugno 2003, altrimenti conosciuto come “Codice per la protezione dei dati personali”, non contemplava un espresso e generalizzato obbligo di impiego dei sistemi di log management allo scopo di tracciare le operazioni di trattamento compiute mediante l’impiego di sistemi informatici.

L’obbligo di adozione di sistemi di gestione dei log era invece definito all’interno del Provvedimento dell’Autorità Garante per la Protezione dei dati personali del 27 novembre 2008, modificato con Provvedimento del 25 giugno 2009 ed attualmente in vigore, limitatamente alle operazioni compiute dai cosiddetti amministratori di sistema, nel cui ambito si intendono incluse le figure professionali preposte alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, nonché gli amministratori di basi di dati, di reti, di apparati di sicurezza e di sistemi software complessi.

L’Autorità Garante per la Protezione dei dati personali, peraltro, precisa che i log file debbano rispondere alle seguenti caratteristiche:

  • la completezza, ovvero il log file deve contenere tutti gli eventi compiuti dagli amministratori di sistema su tutti i componenti del sistema informativo;
  • l’inalterabilità, ovvero l’immodificabilità nel tempo del contenuto dei log file;
  • la verificabilità, ovvero la capacità dei log file di consentire il controllo del corretto utilizzo dei dati.

Tuttavia, l’obbligo previsto dal succitato Provvedimento di registrare le operazioni di accesso, inclusi i tentativi di accesso falliti, nonché le operazioni di disconnessione dai sistemi hardware o software, si pone, di fatto, come meccanismo volto a verificare la correttezza delle attività compiute dagli amministratori di sistema, nonché la loro conformità all’impianto di misure di sicurezza prescritte dalla normativa o dalle policy aziendali.

GDPR: log file e il principio di accountability

Con l’entrata in vigore del GDPR, i log file si sganciano dalle esigenze di controllo dell’operato degli amministratori di sistema, acquisendo più ampia portata nell’ottica di protezione dei dati personali.

Seppur non espressamente menzionato all’interno del GDPR, l’obbligo di registrazione e conservazione dei log file discende direttamente dal principio cardine della nuova normativa in materia di trattamento dei dati personali, ovvero dal principio di accountability, specificatamente individuato dall’art. 24, par. 1 del GDPR.

Il principio di accountability (letteralmente “principio di responsabilizzazione”) pone, infatti, in capo al titolare del trattamento l’onere di provare la conformità della propria struttura organizzativa e procedurale in ambito privacy alla normativa di settore.

Coerentemente con il principio di accountability, l’art. 32 del GDPR impone al titolare e al responsabile del trattamento (fornitore di uno specifico servizio) il compito di individuare, implementare ed aggiornare un sistema di misure di sicurezza tecniche ed organizzative idonee a proteggere i dati personali da potenziali rischi quali la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso, accidentale o illegale, ai dati personali.

A seguito dell’applicazione del GDPR, infatti, il titolare ed il responsabile del trattamento passano dall’essere i meri esecutori di un “pacchetto standard” di misure di sicurezza minime individuate dal legislatore all’interno dell’ormai abrogato Allegato B del Codice per la protezione dei dati personali, al ricoprire il ruolo di “ideatori e creatori” del sistema di sicurezza finalizzato alla protezione dei dati personali.

Resta in ogni caso inteso che, nell’individuazione e nell’applicazione delle misure di sicurezza tecniche ed organizzative, titolari e responsabile del trattamento non potranno prescindere dal considerare una serie di parametri oggettivi individuati dal legislatore europeo, quali ad esempio la natura, l’oggetto e le finalità del trattamento dei dati personali.

Di conseguenza, il principio di accountability, unitamente al connesso obbligo di individuazione e applicazione delle misure di sicurezza, comporta l’onere, in capo a chi tratta dati personali mediante l’impiego di un sistema informativo, di dotarsi di un meccanismo, quale appunto un sistema di log management, capace di tracciare e conservare le informazioni riguardanti le operazioni compiute sui sistemi e che impattano direttamente sui dati personali.

L’importanza assunta dai log file nell’ambito del nuovo quadro normativo in materia privacy è peraltro confermata dal contenuto dell’art. 33 del GDPR, il quale disciplina l’obbligo per il titolare del trattamento di notificare l’avvenuta violazione dei dati personali all’Autorità Garante per la Protezione dei dati personali, entro le 72 ore successive al momento della conoscenza della violazione stessa.

Pertanto, a seguito del verificarsi di un incident sulla sicurezza che possa, anche solo potenzialmente, compromettere i dati personali oggetto di trattamento, è necessario attuare una vera e propria “procedura di indagine” volta ad acquisire le necessarie informazioni relative all’incident e a valutare la configurabilità di una violazione dei dati personali rilevante ai fini della normativa privacy vigente.

Appare evidente come il ricorso ai log file consenta di semplificare una tale procedura di indagine e di ridurne drasticamente i tempi, tanto più che, generalmente, i sistemi di log management sono dotati di meccanismi di alert che si attivano in presenza di anomalie, violazioni o minacce.

Efficacia probatoria dei log file nel processo civile

A questo punto è opportuno chiedersi quali garanzie fornisca, nell’ambito di un procedimento civile, un log file e di conseguenza l’adozione di un sistema di log management.

Il log file non è altro che un documento informatico.

In quanto documento informatico, al log file si applica la disciplina prevista dall’art. 2712 del Codice civile in base alla quale “le riproduzioni informatiche fanno piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime

In concreto, in applicazione dell’art. 20, comma 1-bis del Decreto Legislativo n. 82 del 7 marzo 2005, noto come “Codice Amministrativo Digitale”, il giudice civile ha facoltà di valutare il valore probatorio del documento informatico, tenendo conto delle caratteristiche di sicurezza, integrità e immodificabilità del documento medesimo.

Ai fini della validità del documento informatico e quindi della sua effettiva utilizzabilità in giudizio, è necessario ricorrere a due strumenti idonei a garantire la provenienza del log file, la sua attendibilità, nonché la non alterazione nel tempo del contenuto del log file. Tali strumenti consistono nella firma digitale e nella marcatura temporale.

In particolare, l’apposizione della firma digitale al log file attribuisce a quest’ultimo la medesima efficacia probatoria della scrittura privata, la quale, ai sensi dell’art. 2702 del Codice civile, “fa piena prova della provenienza delle dichiarazioni da chi l’ha sottoscritta”.

Parallelamente, l’apposizione della marca temporale al log file garantisce la validità nel tempo della firma digitale. La marcatura temporale, infatti, consiste in una procedura che permette di associare data ed ora certe e legalmente valide ad un documento informatico, consentendo, quindi, di attribuirgli una validazione temporale opponibile a terzi.

Conclusioni

I log file rappresentano uno strumento capace di “fotografare” le operazioni compiute sui sistemi informatici e quindi sui dati personali. Se correttamente “sfruttati”, i log file consentono di garantire la sicurezza dell’infrastruttura informatica e la lecita gestione dei dati personali.

Sotto il profilo puramente pratico, i log file costituiscono strumenti di troubleshooting (letteralmente “eliminazione del problema”), utili ai sistemisti o agli amministratori di rete per eseguire una corretta manutenzione ed eventuale riparazione del sistema informatico.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr