Un'azienda ha provato che un suo dipendente accedeva abusivamente alle
caselle di e-mail dei colleghi. Il dipendente è ricorso è ha vinto.
La storia è interessante perché, una volta tanto, il ricorso non è stato
vinto a causa di informative inesistenti o scritte male o per regole di
sicurezza informatica carenti, ma perché non è stata provata l'efficacia
probatoria dei log.
Infatti è stato nominato un CTU (Consulente tecnico d'ufficio) che "ha
constatato come sia stato possibile recuperare solo una copia dei log senza
possibilità di verifica della conservazione sui sistemi di origine. I
sistemi aziendali prevedono, infatti, un sistema di sovrascrittura dei file
di log originari che sono andati così distrutti e l'implementazione di copia
dei file di log" e pertanto "i sopra citati dati non siano attendibili né
affidabili. L'azienda non ha adottato adeguate misure per attestare e
precostituirsi l'immodificabilità e attendibilità dei file di log". " Nel
momento in cui è stata effettuata la copia dei log che ricollegano al pc del
ricorrente l'indirizzo Ip utilizzato – il contenuto del file non è stato
sottoposto a nessun controllo di integrità al fine di sancire l'identità
assoluta con il dato nel suo contenuto originale, così come prodotto dal
sistema. Secondo il CTU, in assenza di tali garanzie, il dato dei file di
log è alterabile. I log sono stati infatti esportati su file di testo,
consultabili e alterabili con un normale strumento di edizione".
Si legge quindi che: "Osserva il CTU che, pur potendosi prospettare in
astratto varie modalità di conservazione dei dati che avrebbero
inconfutabilmente determinato la loro immodificabilità e attendibilità, le
stesse non sono state adottate dal datore di lavoro; il sistema avrebbe
dovuto produrre log firmati digitalmente e marcati temporalmente.
L'articolo di Altalex:
-
http://www.altalex.com/index.php?idu=264948&cmd5=021c46ab76df2fd7050bbc8c56e
d7fe1&idnot=67750
Di esso non condivido assolutamente le conclusioni (che gli adempimenti
privacy erano formalistici e non sostanziali, la necessità di adottare
sistemi di audit esterni certificati, la necessità di formazione per le
aziende (che ci stanno a fare gli avvocati e i consulenti?). Condivido
invece il richiamo al Provvedimento del Garante privacy del 1 marzo 2007.
Nessun commento:
Posta un commento