Con l’entrata in vigore del GDPR viene previsto, a livello normativo l’obbligo, in capo al titolare del trattamento, che resti una traccia di ogni operazione effettuata sui dati, di modo che, in caso di ispezione, sia dimostrabile che sono state poste in essere tutte le tutele ritenute idonee, ed è proprio qui che entra in gioco la necessità di salvare i log.
 
Che forma devono avere i file di log
Per il Garante della Privacy non è sufficiente tenere traccia delle operazioni riguardanti i dati, ma i log file devono anche avere le seguenti caratteristiche:
 
  • Completezza, ossia riguardare sia il tipo di operazione riguardante i dati (compreso l’accesso e la consultazione), sia i soggetti che compiono detta operazione;
  • inalterabilità e quindi immodificabilità, in caso contrario sarebbe sufficiente modificare il file cancellando l’accesso o l’operazione in violazione;
  • verificabilità devono cioè consentire il controllo del corretto utilizzo dei dati.
Ovviamente è necessario anche che i Log tengano traccia dell’orario in cui la determinata operazione è stata eseguita.
 
 
Se nel trattare dei dati personali non si rispetta il GDPR, e quindi anche l’obbligo di conservazione dei log, il titolare o il responsabile del trattamento, sono tenuti a risarcire i danni patrimoniali e non patrimoniali subiti dall’interessato. Questa norma è definita dall’articolo 82 del GDPR: “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
 
L’unico modo per l’azienda di proteggersi è proprio di avere una registrazione attraverso log file, che consente di scagionarsi in due modi opposti ma entrambi legati ai file di log:
  • se la violazione riguarda proprio la mancata o errata conservazione dei Log, risulta pressoché impossibile dimostrare la non imputabilità dell’evento dannoso al titolare
  • se la violazione attiene a un altro aspetto del GDPR, si può ipotizzare che i Log possano essere la prova dell’estraneità del titolare dall’evento dannoso.
Questo secondo punto è particolarmente importante per le aziende. Un buon esempio è il caso in cui un dipendente tratti i dati in violazione del regolamento: se il titolare del trattamento ha posto in essere tutte le misure di sicurezza ritenute idonee, è ragionevole pensare che possa dimostrare la sua innocenza attraverso i Log, i quali possono attestare il coinvolgimento esclusivo del dipendente e non del titolare.
 
Le sanzioni possono amministrative possono essere di natura Civile (articolo 58 e 83 del GDPR) o penale (articolo 167, 168 e 169).
 
Registrare i file di log in maniera conforme al GDPR
Per creare correttamente i file di log è necessario un sistema in grado di generarli automaticamente, sarebbe infatti impossibile (e comunque non conforme) crearli “a mano”.
E’ quindi necessario un software che, opportunamente collegato ad una rete aziendale, si occupi di registrare tutte le operazioni e di salvarle appunto in file di log. Questo software deve creare i file di log secondo le specifiche indicate sopra.

 

 

Share This

Share This

Share this post with your friends!