che impediscano agli amministratori di alterare i log di sistema
Con una lettera inviata oggi al Responsabile del trattamento e protezione dei dati del Ministero dell’Interno, abbiamo chiesto se sono previste misure tecniche che impediscano agli amministratori di sistema alterare i log di sistema (immutabilità).
Il Ministero dell’Interno si sta adeguando alla normativa inerente il trattamento dei dati e il decreto ministeriale del 15 dicembre 2023 (https://www.interno.gov.it/sites/default/files/2024-06/decreto_privacy_15.12.2023_formato_accessibile_1.pdf) ne rappresenta un buon inizio.
Si sta affrontando il tema della nomina degli amministratori di sistema, di cui al provvedimento del Garante Privacy del 27 novembre 2008 aggiornato
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1626716.
Il GDPR e il citato provvedimento del Garante del 2008 impongono che il trattamento delle tracce degli accessi, ossia i log, sia degli utenti che degli amministratori, sia regolamentato, documentato e comunicato.
I punti normativi fondamentali sono:
1. Obbligo di informativa agli interessati (Art. 13 e 14 GDPR)
I log degli accessi (audit trail) contengono dati personali (identificativi utente, timestamp, operazioni svolte, indirizzi IP).
Pertanto, il titolare deve informare gli interessati che tali dati vengono trattati, specificando:
-
- Le finalità (es. sicurezza IT, prevenzione abusi, accountability).
- La base giuridica (spesso l’obbligo legale ex art. 32 GDPR o il legittimo interesse).
- Il periodo di conservazione.
- Chi vi ha accesso (inclusi gli amministratori di sistema).
2. Obbligo di istruzioni all’autorizzato al trattamento (Art. 29 GDPR)
Prima di nominare l’amministratore, il titolare deve fornire istruzioni scritte specifiche su come trattare i log. L’art. 29 dispone che il personale autorizzato tratti i dati personali solo su istruzione del titolare o del responsabile. Se i log degli utenti non sono regolamentati, è plausibile che l’amministratore non abbia una base legittima per accedervi.
3. Requisiti del Provvedimento Garante 2008 (ancora vigente)
Il provvedimento del 27 novembre 2008 richiede espressamente:
-
- La designazione individuale e analitica degli ambiti di operatività dell’amministratore.
- La tenuta di un elenco aggiornato delle funzioni attribuite.
- La registrazione degli accessi logici con sistemi che garantiscano completezza e inalterabilità.
Questo presuppone che il titolare abbia definito a priori quali log l’amministratore può consultare e con quali finalità.
4. Separazione dei ruoli e conflitto di interessi
Un aspetto critico spesso trascurato: l’amministratore di sistema non dovrebbe mai poter modificare o cancellare i log dei propri accessi (o almeno non in modo incontrollato).
Il titolare deve definire procedure che impediscano all’amministratore di agire sui log che lo riguardano (principio di separazione dei compiti), altrimenti si vanifica il controllo.
Pertanto abbiamo chiesto al Responsabile del trattamento e protezione dei dati del Ministero dell’Interno che, prima di procedere alla nomina egli amministratori, vengano fornite le seguenti notizie:
- Come verrà gestito il trattamento dei log nel Registro delle attività (Art. 30 GDPR).
- Come verrà erogata l’informativa prevista per i dipendenti/utenti riguardante la raccolta dei log.
- Se sono previste misure tecniche che impediscano agli amministratori di alterare i log di sistema (immutabilità).
Scarica la lettera al Responsabile del trattamento e protezione dei dati del Ministero dell’Interno
A cura del Coordinamento Nazionale FLP Interno
