Il 27/06/08, Luca Lesinigo<[EMAIL PROTECTED]> ha scritto: > > - per i suddetti log non è reato conservarli per un tempo ragionevole ai > fini della gestione dei sistemi informatici dell'azienda di hosting, ad > esempio per alcune settimane. Se invece non si può, è a causa > dell'articolo... ? > Buongiorno a tutti,
è sempre un piacere vedere come questa lista riesca a fornire spunti di riflessione sempre nuovi. Dopo periodi di lettura più o meno (dis)continui avanzo un contributo. Qualche post più in alto Stefano Zanero (che saluto, non ci vediamo da diversi anni ormai) consigliava una certa cautela nel maneggiare l'argomento: a questo proposito mi chiedo se il problema dei log, ai fini che ci interessano, possa essere considerato in due aspetti distinti (posto che non abbiamo per le mani una situazione per la quale siano applicabili art. 132 e decreto Pisanu). 1) che cosa possa eventualmente essere registrato ed a che fini; 2) posto che si registri alcunché, per quanto tempo ed a che finalità sia lecito conservare il materiale. Quanto al punto 1: Qualche indice lo potrebbero fornire le linee guida del Garante per l'uso della posta elettronica ed internet; all'interno della cornice dei principi di necessità, pertinenza e non eccedenza viene ammessa e, a grandi linee e con un buon numero di interrogativi, disciplinata l'ipotesi di registrazione di dati. Senza impegolarsi sulla questione inerente il contenuto dei messaggi di posta elettronica e la qualificazione che si voglia attribuirvi, riguardo la quale vi sono delle pronunce ma credo ci sia ancora molto da discutere, credo che per quanto attiene a registrazioni riguardanti il funzionamento dei sistemi, nel rispetto dei principi di cui sopra, non vi siano impedimenti posti dal 196/2003. Piuttosto vedrei qualche problema con riguardo allo Statuto dei Lavoratori, posto che a mio modesto parere i log contenenti le sole transazioni smtp (solito messaggio stile mail from: [EMAIL PROTECTED] .... to [EMAIL PROTECTED] è stata spedita alle ore tal dei tali ed il server smtp remoto ci detto grazie e tanti sgorbi dopo con l'id della transazione) potrebbero costituire mezzo di controllo indiretto del lavoratore. Su questo punto (eventuali accordi con le rappresentanze sindacali) e sul fatto che il datore abbia o meno redatto un apposito disciplinare informativo, mi chiedo: è lecito scaricare questo rischio sulle spalle del fornitore del servizio di posta elettronica? C'è una prassi contrattuale sul punto? Rimane aperto il problema di come *praticamente* rispettare i principi del Codice, limite entro il quale il Garante pare ammettere la tenuta di log, punto sul quale non credo sia possibile dare una risposta in termini assoluti. Quanto al punto 2: Ammettendo che sia lecito registrare i dati riguardanti il funzionamento dei sistemi, interpretando estensivamente il secondo comma dell'art. 123 del Codice potremmo anche arrivare a dire, risolvendo la questione del cliente che chiede come mai il messaggio di posta elettronica non sia arrivato a destinazione, che ai fini della fatturazione e di eventuale contestazione sia possibile conservare quei dati per al massimo sei mesi, prevedendo dei meccanismi automatizzati per la distruzione degli stessi come imposto dal Garante nelle linee guida. In questi termini vedrei rispettati i ben noti principi, che dite? In relazione ad entrambi i punti, tra le tante domande: è stato mai redatto il codice di autoregolamentazione ex art. 133? Ho visto delle proposte ma sul sito del Garante non vedo nulla di definitivo. Francesco.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
