Amministratori di sistema e privacy: domande e risposte

Mi riallaccio al provvedimento del garante in materia di privacy ed amministratori di sistema, di cui ho già parlato, per introdurre alcuni chiarimenti sotto forma di domande e risposte brevi che potrebbero essere utili a quanti pensano di rientrare nell'ambito di applicazione delle misure previste o nutrono dubbi in proposito.

D. Tutti i titolari di dati sono obbligati ad applicare le misure previste ?

No, soltanto quelli che trattano dati personali con strumenti informatici ed elettronici, anche quando tale trattamento è parziale.

Tuttavia anche i titolari che trattano dati in questo modo sono esclusi se le finalità del trattamento sono soltanto quelle amministrativo-contabili (oggetto dei recenti interventi di semplificazione).

D. Quali figure rientrano nel concetto di amministratore di sistema ?

Quelle in possesso di competenze tali da poter essere incaricate della gestione e manutenzione dei sistemi informatici o delle loro componenti (hardware e software).

Nella stessa definizione rientrano anche le figure equiparate che svolgono una attività di gestione e manutenzione che presenta dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza, di software, ecc...).

D. Come deve comportarsi il titolare prima di nominare uno o più amministratori di sistema ?

Innanzitutto, può sembrare banale, ma è opportuno verificare se la nomina risponde ad una esigenza effettiva.

In secondo luogo occorre valutare l'idoneità a ricoprire l'incarico da parte del soggetto da designare.
I criteri per compiere questa valutazione possono essere diversi, ma il garante richiama espressamente quelli previsti per la nomina del responsabile del trattamento.

Questo vuol dire quindi che l'esperienza, la capacità e l'affidabilità del soggetto da designare devono costituire una garanzia del rispetto delle disposizioni del codice della privacy, compreso l'aspetto attinente la sicurezza dei dati.

Se questa valutazione manca o avviene in modo superficiale si può anche incorrere in una responsabilità per incauta designazione nel caso in cui il soggetto designato non sia poi in grado di garantire, nei limiti delle proprie funzioni, il livello di protezione dei dati che è lecito attendersi.

D. Con quali modalità deve avvenire la nomina ?

E' opportuno che sia documentata e che contenga una indicazione precisa delle funzioni e dei compiti attribuiti all'amministratore (così come avviene per il responsabile del trattamento).

In questo modo si fa chiarezza sull'ambito di esigibilità della prestazione professionale richiesta all'amministratore di sistema.

D. Che cosa si intende per verifica dell'operato degli amministratori ?

Significa che gli amministratori devono rispettare, nello svolgimento delle attività, le misure tecniche, organizzative e di sicurezza previste dalla legge in materia di protezione dei dati personali e che le eventuali violazioni od anomalie nel loro operato devono essere prontamente identificate e sanate dal titolare.

Questo garantisce che il titolare possa considerarsi diligente nell'effettuazione dei controlli e spiega il perchè venga richiesto agli amministratori, all'atto della nomina, di fornire idonea garanzia di rispetto delle disposizioni di legge vigenti.

D. Quando deve essere effettuata la verifica ?

Quando si reputa opportuna, anche in relazione alle dimensioni ed alla complessità dell'organizzazione di riferimento e, comunque, con cadenza almeno annuale.

D. L'attività degli amministratori di sistema deve essere registrata ?

Soltanto quella che comporta un accesso, inteso come superamento di una procedura di autenticazione informatica, ai sistemi ed agli archivi elettronici.

In assenza di contrarie indicazioni sembra che la registrazione debba comprendere tanto gli eventi positivi (success) che negativi (failure) di accesso.

D.  Con quali modalità e garanzie deve essere effettuata la registrazione ?

Le registrazioni (record) devono contenere l'indicazione della data (timestamp) e la descrizione dell'evento che le genera.

Devono inoltre essere complete, non modificabili e consentire la verifica della loro integrità, tenendo conto delle finalità di controllo cui sono preordinate.

A seconda della dimensione e della complessità della infrastruttura IT questa misura può richiedere uno sforzo organizzativo e tecnologico non indifferente, anche dal punto di vista dell'analisi della situazione di partenza.

Le registrazioni vanno conservate per un periodo minimo di 6 mesi.

D. Quanto tempo hanno i titolari per applicare le misure ?

Se i trattamenti sono già iniziati il termine massimo per adempiere è di 120 giorni decorrenti dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale (24/12/2008) stato prorogato al 30 giugno 2009.

Se invece i trattamenti devono ancora iniziare le misure devono essere applicate subito.

E' comunque consigliabile non attendere l'ultimo minuto e pianificare, invece, anche economicamente, l'attuazione delle misure per tempo.

2 commenti:

Wave ha detto...

ciao, cosa si può fare quando viene nominato un Amministratore di sistema, che di informatica non ne capisce nulla, e si appoggia a dei sistemisti esterni?

Stefano Bendandi ha detto...

Dipende da quale ruolo hanno i sistemisti esterni e come risulta inquadrato formalmente il loro incarico.

Certo, per come è delineata la questione, la nomina di un amministratore di sistema che non ha competenze specifiche in materia è un rischio, non soltanto per lui, ma anche e soprattutto per il titolare dei dati, suo datore di lavoro.