Francesco Toscan ha scritto:
Il 27/06/08, Luca Lesinigo<[EMAIL PROTECTED]> ha scritto:
- per i suddetti log non è reato conservarli per un tempo ragionevole ai
fini della gestione dei sistemi informatici dell'azienda di hosting, ad
esempio per alcune settimane. Se invece non si può, è a causa
dell'articolo... ?
Buongiorno a tutti,
è sempre un piacere vedere come questa lista riesca a fornire spunti
di riflessione sempre nuovi. Dopo periodi di lettura più o meno
(dis)continui avanzo un contributo.
Qualche post più in alto Stefano Zanero (che saluto, non ci vediamo da
diversi anni ormai) consigliava una certa cautela nel maneggiare
l'argomento: a questo proposito mi chiedo se il problema dei log, ai
fini che ci interessano, possa essere considerato in due aspetti
distinti (posto che non abbiamo per le mani una situazione per la
quale siano applicabili art. 132 e decreto Pisanu).
1) che cosa possa eventualmente essere registrato ed a che fini;
2) posto che si registri alcunché, per quanto tempo ed a che finalità
sia lecito conservare il materiale.
Quanto al punto 1:
Qualche indice lo potrebbero fornire le linee guida del Garante per
l'uso della posta elettronica ed internet; all'interno della cornice
dei principi di necessità, pertinenza e non eccedenza viene ammessa e,
a grandi linee e con un buon numero di interrogativi, disciplinata
l'ipotesi di registrazione di dati. Senza impegolarsi sulla questione
inerente il contenuto dei messaggi di posta elettronica e la
qualificazione che si voglia attribuirvi, riguardo la quale vi sono
delle pronunce ma credo ci sia ancora molto da discutere, credo che
per quanto attiene a registrazioni riguardanti il funzionamento dei
sistemi, nel rispetto dei principi di cui sopra, non vi siano
impedimenti posti dal 196/2003.
dipende sempre dai contenuti, se registri cio che fa una determinata
procedura senza includervi dati che possano , anche tramite incroci ,
ricondurre ad un soggetto sei libero di registrare tutto quello che vuoi
, altrimenti devi rispettare il TU.
Piuttosto vedrei qualche problema con
riguardo allo Statuto dei Lavoratori, posto che a mio modesto parere i
log contenenti le sole transazioni smtp (solito messaggio stile mail
from: [EMAIL PROTECTED] .... to [EMAIL PROTECTED] è stata spedita
alle ore tal dei tali ed il server smtp remoto ci detto grazie e tanti
sgorbi dopo con l'id della transazione) potrebbero costituire mezzo di
controllo indiretto del lavoratore.
se ti riferisci allo statuto dei lavoratori significa che stai trattando
informazioni che , anche tramite incroci , possono essere riferiti a
soggetti.
A questo punto hai lo statuto dei lavoratori che ti aiuta a verificare
se le finalità che vuoi perseguire sono o meno lecite/legittime e
sicuramente nello specifico esempio rischi di effettuare , anche solo
involontariamente, un controllo a distanza.
Comunque anche se fosse legittimo il trattamento questi va
necessariamente preceduto da idonea informativa e nel caso dei
lavoratori accordo sindacale preventivo.
Mancando tali caratteristiche tutto il trattamento è fuori legge con
tutte le conseguenze del caso.
Vorrei ribadire il concetto di informativa a accordo sindacale preventivo.
L'unico caso in cui è fattibile bypassare tali atti è in caso di
indagini ma queste sono regolamentate.
Il trattamento effettuato ex pisanu è un trattamento che non può essere
usato al di fuori di quanto previsto dal decreto , per cui i dati
raccolti non esistono e non possono assolutamente essere usati per altri
fini anche legittimi.
Su questo punto (eventuali accordi con le rappresentanze sindacali) e
sul fatto che il datore abbia o meno redatto un apposito disciplinare
informativo, mi chiedo: è lecito scaricare questo rischio sulle spalle
del fornitore del servizio di posta elettronica?
e come scaricargli tale rischio? , il fornitore risulta essere un
incaricato di trattamento per cui il rischio è sempre in capo al titolare.
Rimane aperto il problema di come *praticamente* rispettare i principi
del Codice, limite entro il quale il Garante pare ammettere la tenuta
di log, punto sul quale non credo sia possibile dare una risposta in
termini assoluti.
difatti.
Quanto al punto 2:
Ammettendo che sia lecito registrare i dati riguardanti il
funzionamento dei sistemi, interpretando estensivamente il secondo
comma dell'art. 123 del Codice potremmo anche arrivare a dire,
risolvendo la questione del cliente che chiede come mai il messaggio
di posta elettronica non sia arrivato a destinazione, che ai fini
della fatturazione e di eventuale contestazione sia possibile
conservare quei dati per al massimo sei mesi, prevedendo dei
meccanismi automatizzati per la distruzione degli stessi come imposto
dal Garante nelle linee guida. In questi termini vedrei rispettati i
ben noti principi, che dite?
assolutamente no.
se conservi i dati ai fini di fatturare non puoi usarli per altri scopi
, nessuna interpretazione estensiva va fatta.
Vi sono gia molte condanne per usi non corretti di dati .
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
