Privacy ed amministratori di sistema: misure ed accorgimenti da rispettare

Gli amministratori di sistema svolgono, sempre più spesso, un ruolo specifico nella gestione delle varie componenti del patrimonio informativo e risultano destinatari di livelli privilegiati di accesso alle risorse ed ai dati, compresi quelli di natura personale, essendo coinvolti in molte attività, anche critiche, di trattamento.

Da ciò deriva la necessità di inquadrare la loro nomina come un atto di fondamentale importanza, idoneo ad influire sui livelli di sicurezza complessivi di una infrastruttura informatica, così come del resto accade per altre decisioni analoghe, espressione per lo più di una scelta in campo tecnologico.

E' questa la convinzione cui è giunta, anche all'esito delle numerose attività ispettive svolte, l'autorità garante della privacy, preoccupandosi di definire con un apposito provvedimento di carattere generale, emanato in data 27 novembre 2008, le misure e gli accorgimenti ritenuti idonei a garantire che la nomina, le attività ed i controlli sull'operato degli amministratori di sistema siano in linea con la specificità del loro ruolo e con le prescrizioni vigenti in materia di protezione dei dati personali.

L'ambito di applicazione del provvedimento è circoscritto ai titolari di dati personali che effettuano, anche in parte, il trattamento mediante l'ausilio di strumenti elettronici, con l'esclusione, comunque, dei titolari di dati trattati per le sole finalità amministrative e contabili oggetto dei recenti interventi di semplificazione.

Le misure riguardano gli amministratori di sistema e le figure ad essi equiparabili dal punto di vista dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza e di sistemi software).

Valutazioni soggettive

L'attribuzione dei compiti e delle responsabilità tipiche di un amministratore di sistema presuppone una valutazione preventiva dell'esperienza, delle capacità e dell'affidabilità del soggetto che si intende designare il quale deve, a sua volta, fornire idonea garanzia del rispetto delle disposizioni di legge vigenti anche sotto il profilo della sicurezza.

Questo accorgimento non vale soltanto nel caso in cui l'amministratore debba essere designato, contestualmente, come responsabile di uno o più trattamenti, ma anche nell'ambito di una designazione come puro incaricato.

Pertanto, vista la specificità e la natura dell'incarico da svolgere, è necessario attenersi sempre a criteri di valutazione analoghi a quelli richiesti per la nomina del responsabile dall'art. 29 del d.lgs. 196/03.

In difetto di una idoneità nella valutazione o nei criteri sui quali quest'ultima si basa il titolare può, infatti, incorrere in una responsabilità per incauta designazione (culpa in eligendo).

Designazione individuale

La nomina deve avvenire su base individuale ed essere accompagnata dalla indicazione analitica degli ambiti di operatività consentiti dal possesso di un determinato profilo di autorizzazione.

Elenchi

La lista delle persone fisiche designate come amministratori di sistema deve essere riportata nel documento programmatico della sicurezza oppure, in mancanza di quest'ultimo, in un apposito documento interno mantenuto aggiornato e disponibile in caso di accertamento.

Inoltre, salvo diverse e contrarie disposizioni di legge, l'identità di queste persone deve essere resa conoscibile dal titolare, nell'ambito della propria organizzazione, quando la loro attività riguardi, anche indirettamente, sistemi o servizi con i quali si trattano dati personali dei lavoratori.

Questa forma di pubblicità può essere realizzata in vario modo ed, in particolare, attraverso:


  • l'informativa di cui all'art. 13 del d.lgs. 196/03
  • il disciplinare tecnico adottato in osservanza del provvedimento del garante del 1° marzo 2007 (uso di Internet e della posta elettronica in azienda)
  • gli strumenti di comunicazione interna come la intranet o la bacheca aziendale, gli ordini di servizio, ecc...

Se le funzioni di amministrazione dei sistemi sono devolute all'esterno (cd. outsourcing) il titolare deve conservare gli estremi identificativi delle persone fisiche preposte.

Verifiche

Con cadenza almeno annuale il titolare deve verificare l'operato dell'amministratore di sistema con la finalità di valutarne la rispondenza alle misure tecniche, organizzative e di sicurezza adottate nel campo della protezione dei dati personali.

Log

Gli accessi ai sistemi di elaborazione ed agli archivi elettronici da parte degli amministratori devono essere tracciati in appositi log elettronici che, in relazione alle finalità di supporto delle verifiche, devono essere dotati di adeguate caratteristiche di completezza, inalterabilità ed integrità.

Le registrazioni devono comprendere un riferimento temporale, accompagnato dalla descrizione degli eventi che le hanno generate, ed essere conservate per un congruo periodo non inferiore a sei mesi.

Tempistiche

I tempi per l'adozione delle misure sono differenti:


  • i titolari dei trattamenti già iniziati o che avranno inizio entro il termine di 30 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale (avvenuta in data 24/12/2008) dovranno adottare gli accorgimenti prescritti al più presto e, comunque, non oltre il termine di centoventi giorni decorrenti dalla pubblicazione stessa del 30 giugno 2009;
  • i titolari dei trattamenti iniziati dopo il termine di 30 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale dovranno invece adottare gli accorgimenti prescritti anteriormente al trattamento dei dati;
Fonte: Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema

0 commenti: