Amministratori di sistema e privacy: domande e risposte

Mi riallaccio al provvedimento del garante in materia di privacy ed amministratori di sistema, di cui ho già parlato, per introdurre alcuni chiarimenti sotto forma di domande e risposte brevi che potrebbero essere utili a quanti pensano di rientrare nell'ambito di applicazione delle misure previste o nutrono dubbi in proposito.

D. Tutti i titolari di dati sono obbligati ad applicare le misure previste ?

No, soltanto quelli che trattano dati personali con strumenti informatici ed elettronici, anche quando tale trattamento è parziale.

Tuttavia anche i titolari che trattano dati in questo modo sono esclusi se le finalità del trattamento sono soltanto quelle amministrativo-contabili (oggetto dei recenti interventi di semplificazione).

D. Quali figure rientrano nel concetto di amministratore di sistema ?

Quelle in possesso di competenze tali da poter essere incaricate della gestione e manutenzione dei sistemi informatici o delle loro componenti (hardware e software).

Nella stessa definizione rientrano anche le figure equiparate che svolgono una attività di gestione e manutenzione che presenta dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza, di software, ecc...).

D. Come deve comportarsi il titolare prima di nominare uno o più amministratori di sistema ?

Innanzitutto, può sembrare banale, ma è opportuno verificare se la nomina risponde ad una esigenza effettiva.

In secondo luogo occorre valutare l'idoneità a ricoprire l'incarico da parte del soggetto da designare.
I criteri per compiere questa valutazione possono essere diversi, ma il garante richiama espressamente quelli previsti per la nomina del responsabile del trattamento.

Questo vuol dire quindi che l'esperienza, la capacità e l'affidabilità del soggetto da designare devono costituire una garanzia del rispetto delle disposizioni del codice della privacy, compreso l'aspetto attinente la sicurezza dei dati.

Se questa valutazione manca o avviene in modo superficiale si può anche incorrere in una responsabilità per incauta designazione nel caso in cui il soggetto designato non sia poi in grado di garantire, nei limiti delle proprie funzioni, il livello di protezione dei dati che è lecito attendersi.

D. Con quali modalità deve avvenire la nomina ?

E' opportuno che sia documentata e che contenga una indicazione precisa delle funzioni e dei compiti attribuiti all'amministratore (così come avviene per il responsabile del trattamento).

In questo modo si fa chiarezza sull'ambito di esigibilità della prestazione professionale richiesta all'amministratore di sistema.

D. Che cosa si intende per verifica dell'operato degli amministratori ?

Significa che gli amministratori devono rispettare, nello svolgimento delle attività, le misure tecniche, organizzative e di sicurezza previste dalla legge in materia di protezione dei dati personali e che le eventuali violazioni od anomalie nel loro operato devono essere prontamente identificate e sanate dal titolare.

Questo garantisce che il titolare possa considerarsi diligente nell'effettuazione dei controlli e spiega il perchè venga richiesto agli amministratori, all'atto della nomina, di fornire idonea garanzia di rispetto delle disposizioni di legge vigenti.

D. Quando deve essere effettuata la verifica ?

Quando si reputa opportuna, anche in relazione alle dimensioni ed alla complessità dell'organizzazione di riferimento e, comunque, con cadenza almeno annuale.

D. L'attività degli amministratori di sistema deve essere registrata ?

Soltanto quella che comporta un accesso, inteso come superamento di una procedura di autenticazione informatica, ai sistemi ed agli archivi elettronici.

In assenza di contrarie indicazioni sembra che la registrazione debba comprendere tanto gli eventi positivi (success) che negativi (failure) di accesso.

D.  Con quali modalità e garanzie deve essere effettuata la registrazione ?

Le registrazioni (record) devono contenere l'indicazione della data (timestamp) e la descrizione dell'evento che le genera.

Devono inoltre essere complete, non modificabili e consentire la verifica della loro integrità, tenendo conto delle finalità di controllo cui sono preordinate.

A seconda della dimensione e della complessità della infrastruttura IT questa misura può richiedere uno sforzo organizzativo e tecnologico non indifferente, anche dal punto di vista dell'analisi della situazione di partenza.

Le registrazioni vanno conservate per un periodo minimo di 6 mesi.

D. Quanto tempo hanno i titolari per applicare le misure ?

Se i trattamenti sono già iniziati il termine massimo per adempiere è di 120 giorni decorrenti dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale (24/12/2008) stato prorogato al 30 giugno 2009.

Se invece i trattamenti devono ancora iniziare le misure devono essere applicate subito.

E' comunque consigliabile non attendere l'ultimo minuto e pianificare, invece, anche economicamente, l'attuazione delle misure per tempo.

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Privacy ed amministratori di sistema: misure ed accorgimenti da rispettare

Gli amministratori di sistema svolgono, sempre più spesso, un ruolo specifico nella gestione delle varie componenti del patrimonio informativo e risultano destinatari di livelli privilegiati di accesso alle risorse ed ai dati, compresi quelli di natura personale, essendo coinvolti in molte attività, anche critiche, di trattamento.

Da ciò deriva la necessità di inquadrare la loro nomina come un atto di fondamentale importanza, idoneo ad influire sui livelli di sicurezza complessivi di una infrastruttura informatica, così come del resto accade per altre decisioni analoghe, espressione per lo più di una scelta in campo tecnologico.

E' questa la convinzione cui è giunta, anche all'esito delle numerose attività ispettive svolte, l'autorità garante della privacy, preoccupandosi di definire con un apposito provvedimento di carattere generale, emanato in data 27 novembre 2008, le misure e gli accorgimenti ritenuti idonei a garantire che la nomina, le attività ed i controlli sull'operato degli amministratori di sistema siano in linea con la specificità del loro ruolo e con le prescrizioni vigenti in materia di protezione dei dati personali.

L'ambito di applicazione del provvedimento è circoscritto ai titolari di dati personali che effettuano, anche in parte, il trattamento mediante l'ausilio di strumenti elettronici, con l'esclusione, comunque, dei titolari di dati trattati per le sole finalità amministrative e contabili oggetto dei recenti interventi di semplificazione.

Le misure riguardano gli amministratori di sistema e le figure ad essi equiparabili dal punto di vista dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza e di sistemi software).

Valutazioni soggettive

L'attribuzione dei compiti e delle responsabilità tipiche di un amministratore di sistema presuppone una valutazione preventiva dell'esperienza, delle capacità e dell'affidabilità del soggetto che si intende designare il quale deve, a sua volta, fornire idonea garanzia del rispetto delle disposizioni di legge vigenti anche sotto il profilo della sicurezza.

Questo accorgimento non vale soltanto nel caso in cui l'amministratore debba essere designato, contestualmente, come responsabile di uno o più trattamenti, ma anche nell'ambito di una designazione come puro incaricato.

Pertanto, vista la specificità e la natura dell'incarico da svolgere, è necessario attenersi sempre a criteri di valutazione analoghi a quelli richiesti per la nomina del responsabile dall'art. 29 del d.lgs. 196/03.

In difetto di una idoneità nella valutazione o nei criteri sui quali quest'ultima si basa il titolare può, infatti, incorrere in una responsabilità per incauta designazione (culpa in eligendo).

Designazione individuale

La nomina deve avvenire su base individuale ed essere accompagnata dalla indicazione analitica degli ambiti di operatività consentiti dal possesso di un determinato profilo di autorizzazione.

Elenchi

La lista delle persone fisiche designate come amministratori di sistema deve essere riportata nel documento programmatico della sicurezza oppure, in mancanza di quest'ultimo, in un apposito documento interno mantenuto aggiornato e disponibile in caso di accertamento.

Inoltre, salvo diverse e contrarie disposizioni di legge, l'identità di queste persone deve essere resa conoscibile dal titolare, nell'ambito della propria organizzazione, quando la loro attività riguardi, anche indirettamente, sistemi o servizi con i quali si trattano dati personali dei lavoratori.

Questa forma di pubblicità può essere realizzata in vario modo ed, in particolare, attraverso:

• l'informativa di cui all'art. 13 del d.lgs. 196/03
• il disciplinare tecnico adottato in osservanza del provvedimento del garante del 1° marzo 2007 (uso di Internet e della posta elettronica in azienda)
• gli strumenti di comunicazione interna come la intranet o la bacheca aziendale, gli ordini di servizio, ecc...

Se le funzioni di amministrazione dei sistemi sono devolute all'esterno (cd. outsourcing) il titolare deve conservare gli estremi identificativi delle persone fisiche preposte.

Verifiche

Con cadenza almeno annuale il titolare deve verificare l'operato dell'amministratore di sistema con la finalità di valutarne la rispondenza alle misure tecniche, organizzative e di sicurezza adottate nel campo della protezione dei dati personali.

Log

Gli accessi ai sistemi di elaborazione ed agli archivi elettronici da parte degli amministratori devono essere tracciati in appositi log elettronici che, in relazione alle finalità di supporto delle verifiche, devono essere dotati di adeguate caratteristiche di completezza, inalterabilità ed integrità.

Le registrazioni devono comprendere un riferimento temporale, accompagnato dalla descrizione degli eventi che le hanno generate, ed essere conservate per un congruo periodo non inferiore a sei mesi.

Tempistiche

I tempi per l'adozione delle misure sono differenti:

• i titolari dei trattamenti già iniziati o che avranno inizio entro il termine di 30 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale (avvenuta in data 24/12/2008) dovranno adottare gli accorgimenti prescritti al più presto e, comunque, non oltre il termine di centoventi giorni decorrenti dalla pubblicazione stessa del 30 giugno 2009;
• i titolari dei trattamenti iniziati dopo il termine di 30 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale dovranno invece adottare gli accorgimenti prescritti anteriormente al trattamento dei dati;

Fonte: Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Sanzioni inasprite per illeciti connessi alla privacy: ma non si era parlato di semplificazione ?

Con il consueto decreto mille proroghe 30 dicembre 2008 n. 207 (G.U. n. 304 del 31.12.2008), appuntamento ormai ricorrente di ogni fine dicembre, quest'anno sono state introdotte anche disposizioni in materia di privacy.

In sintesi le principali modifiche, contenute nell'art. 44, riguardano alcuni articoli del d.lgs. 196/03 ed hanno per oggetto un inasprimento delle sanzioni per alcuni illeciti connessi al trattamento dei dati:

• il comma 1 dell'art. 161, in relazione alla fattispecie di omessa od inidonea informativa, prevede una sanzione base che passa da seimila a trentaseimila euro
• il comma 1 dell'art. 162, in relazione alla violazione delle disposizioni sulla cessione dei dati (art. 16, comma 1, lett. b. del codice), prevede una sanzione che passa da diecimila a sessantamila euro
• il nuovo comma 2-bis dell'art. 162 prevede che, in caso di trattamento effettuato senza le misure minime, di cui all'art. 33, o in violazione della disposizione di cui all'art. 167, si applica altresì la sanzione amministrativa del pagamento di una somma da ventimila a centoventimila euro, escludendo comunque il pagamento in misura ridotta qualora vi sia stata la mancata applicazione delle misure minime di sicurezza
• il nuovo comma 2-ter dell'art. 162, in relazione alla inosservanza dei provvedimenti dell'autorità garante, prevede ora la sanzione amministrativa del pagamento di una somma da trentamila a centottantamila euro
• il comma 1 dell'art. 163, in relazione all'omessa od incompleta notificazione, prevede ora la sanzione da ventimila a centoventimila euro mentre la sanzione amministrativa accessoria è stata soppressa
• il comma 1 dell'art. 164, in relazione all'omessa od incompleta esibizione al garante, prevede ora la sanzione da diecimila a sessantamila euro

Da segnalare inoltre che il nuovo art. 164-bis, al comma 3, stabilisce che nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per uno o più interessati, oppure quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicabili in misura doppia.

Anche se l'intervento del legislatore appare giustificabile sotto il profilo della necessità di combattere con maggior rigore alcune fattispecie di indebito utilizzo dei dati personali, rimane però da chiarire, come prospettato anche da altri osservatori, il motivo di un atteggiamento così contrastante in una materia, come questa, che richiederebbe una coesione ed una omogeneità di atteggiamenti e provvedimenti ben diversa da quella fino ad ora dimostrata.

Non dimentichiamo, infatti, che nel corso dell'anno appena passato sia il governo che il garante sono stati tra i fautori di provvedimenti di semplificazione, di cui l'ultimo proprio in materia di misure di sicurezza minime, che per certi versi stridono con l'atteggiamento di rigorosa inflessibilità che ora si vuole assumere attraverso l'inasprimento delle sanzioni.

Il messaggio che rischia di passare è ancora una volta soltanto quello di una estrema confusione di fondo !

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.