Applica le regole da rispettare per essere conforme alle norme del GDPR in materia di log

Perché è necessario tracciare e conservare i log per legge

La maggior parte degli incidenti di sicurezza lascia tracce nei log. Il team di sicurezza può verificare, analizzare e comprendere i casi sospetti e configurare il sistema di correlazione per identificarli rapidamente.


La corretta gestione dei log è importante per un motivo fondamentale: è obbligatoria, per legge. È dal 2008 che è obbligatorio raccogliere i login, log out e login falliti degli amministratori di sistema in virtù del relativo provvedimento del Garante. Con il Provvedimento del 27/11/2008 il Garante Privacy ha identificato nell’amministratore di sistema (ADS) la figura professionale a cui spetta la gestione e la manutenzione degli impianti di elaborazione con cui vengono effettuati i trattamenti dei dati personali. Il Garante disciplina le modalità di individuazione, designazione, valutazione e verifica delle attività svolte da tali soggetti. In particolare, è stato introdotto l’obbligo per i titolari del trattamento dei dati di conservare gli “accessi log” in archivi immodificabili e inalterabili.

Per non incorrere in pene pecuniarie, le aziende, gli enti o gli studi professionali che trattano dati sensibili o giudiziari (ad esclusione del trattamento che avviene per ordinarie finalità amministrativo-contabili), sono tenuti a dotarsi di un sistema di Log Management.


Con il GDPR permane l’obbligo di assolvere agli adempimenti dettati dal Provvedimento, ed anzi per non violare i diritti degli Interessati, è assolutamente necessario rispettarne i principi. Effettuare una raccolta Log che non rispetti i principi del Provvedimento, comporta inevitabilmente una violazione dei diritti e delle libertà degli Interessati, con conseguenze anche significative. Al fine di effettuare la raccolta e l’utilizzo dei file di log, devono essere necessariamente rispettati alcuni principi generali sanciti dal GDPR come quello di trasparenza, limitazione delle finalità, minimizzazione, data retention, di cui all’art. 5, par. 1. In caso contrario, l’Organizzazione potrebbe incorrere in pesanti sanzioni: fino a 20 milioni di euro e/o 4% del fatturato.