{{feedLink}}

Bipensiero su conservazione dei Log e metadati

log Christian Bernieri
(Aggiornato il )
Giustizia
Autore ignoto - modified.

Il cortocircuito del giorno e il bipensiero del Garante Privacy.

O, più probabilmente, sono io che non capisco.

 

Il Garante Privacy ha recentemente sanzionato Regione Lombardia per aver conservato i LOG di alcuni sistemi per 90 giorni, in assenza di accordo sindacale o autorizzazione ministeriale. Questo perché, trattando dati di lavoratori, si applica l'articolo 4 dello statuto.

Se i dati fossero conservati per 21 giorni lo strumento sarebbe stato considerato funzionale alla prestazione lavorativa e non avrebbe richiesto accordo sindacale o autorizzazione ministeriale.

Non commento, ma... confronto.

Oggi leggo che lo stesso Garante ha emesso un parere favorevole su un disegno di legge relativo alla patente a crediti dell’edilizia e ha approvato (e scritto) questo:

  • L'ispettorato nazionale è titolare del trattamento del registro delle patenti a punti
  • Hanno accesso al registro tanti soggetti... inclusi i dipendenti dell'ispettorato
  • "I log di tracciatura degli eventi non sono sottoposti ad analisi automatizzate e non sono previsti sistemi di alert automatico; gli stessi vengono raccolti al fine di poter ricostruire le operazioni eseguite sul sistema e vengono conservati per CINQUE ANNI"

 

5 ANNI !

Il Garante aggiunge che “lo schema di decreto in esame tiene conto delle indicazioni fornite dall’Ufficio del Garante nel corso delle interlocuzioni intercorse, volte ad assicurare la conformità del trattamento in esame alla normativa in materia di protezione dei dati personali

Quindi quei 5 anni sono stati ponderati, concordati e condivisi dal Garante. Non sono un refuso, anzi, la conservazione di quei dati viene giudicata coerente con il principio di limitazione della conservazione:  “l’individuazione del periodo temporale entro il quale le informazioni i dati trattati nell’ambito del portale sono consultabili, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento)”

 

 

Oltre a questo, nel provvedimento contro Regione Lombardia, il Garante ha qualificato i log conservati per 90 giorni come MISURA NON ESSENZIALE per la sicurezza esprimendosi così: “deve ritenersi che, pur in presenza di alcune misure sul piano tecnico ed organizzativo, il trattamento in questione non possa ancora ritenersi complessivamente proporzionato rispetto alla finalità perseguita dalla Regione, ossia quella di sicurezza della rete.

Secondo il Garante, la conservazione “ESSENZIALE” è limitata a 21 giorni e lo spiega così: “affinché sia ritenuto applicabile il comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300, l’attività di raccolta e conservazione dei soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e il SODDISFACIMENTO DELLE PIÙ ESSENZIALI GARANZIE DI SICUREZZA INFORMATICA, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni, comunque non superiore ai 21 giorni,

 

Tuttavia...

nel parere preventivo, con riferimento ai log conservati per 5 anni, il Garante si esprime in questi termini: la conformità alla normativa è garantita da… “le misure tecniche e organizzative per garantire un livello di sicurezza adeguato ai rischi, con particolare riguardo all’implementazione di specifici meccanismi di tracciamento che registrino e conservino le informazioni necessarie ad effettuare verifiche a campione sulla effettiva abilitazione dei soggetti che hanno proceduto a visualizzare le informazioni relative alla patente, anche sulla base dei log di accesso, nel rispetto del principio di integrità e riservatezza, e degli obblighi di sicurezza (art. 5, par. 1, lett. f), e art. 32 del Regolamento);”

E come se non bastasse, il Garante aggiunge che: “considerato, al riguardo, che il tracciamento delle operazioni svolte nell’ambito del portale e la conservazione delle relative registrazioni (file di log) rappresentano una misura che risponde a specifiche esigenze di sicurezza, essendo volta a consentire la verifica a posteriori della liceità e correttezza delle attività svolte dai soggetti abilitati ad accedere al portale e, quindi, a rilevare eventuali operazioni non autorizzate”

 

Contrariamente a ciò che mi sari aspettato, nel parere preventivo non è presente e non viene mai citata come necessaria misura di garanzia (o di legittimità) l’accordo sindacale e autorizzazione del ministero, che peraltro coinciderebbe con il titolare del trattamento … vale a dire che l’art. 4 dello statuto dei lavoratori, che tutti devono rispettare per conservare log per più di 21 giorni, a quanto pare, non riguarda il Ministero del Lavoro.

 

Il terzo ed ultimo aspetto che mi colpisce è l’enorme differenza tra 21 giorni e 5 anni (1826/1827 giorni). Non è il doppio, non è il triplo. È cento volte tanto.

 

Francamente ho smesso di capire.

CB

 

 

 

 

fonte: parere preventivo patente a punti

https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10141315 

 

fonte sanzione regione Lombardia

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10134221 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...

Toggle darkmode