Amministratori di sistema: proroga dei termini per l'adozione delle misure

A seguito delle indicazioni formulate nel corso di una consultazione pubblica, il garante della privacy ha emanato nuove disposizioni per modificare il precedente provvedimento concernente le misure di sicurezza applicabili agli amministratori di sistema.

Le modifiche si giustificano con l'intento di facilitare l'adozione delle misure, anche per quelle realtà aziendali nelle quali determinati servizi informatici sono forniti da società esterne.

In tal senso l'autorità ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dai responsabili del trattamento.

Inoltre i termini per l'adozione delle misure tecniche ed organizzative sono stati prorogati al 15 dicembre 2009.

Di seguito riepilogo, per comodità, le porzioni del provvedimento originario oggetto delle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:


Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Aggiunta del punto 3-bis:

dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali".

2 commenti:

Marco ha detto...

Ormai è chiaro che chi detta queste disposizioni non ha assolutamente presente la realtà. Stanno perdendo di credibilità e per forza di cose si aspetta sempre l'ultimo giorno per mettersi in regola. Perchè? Perchè c'è sempre una PROROGA.

Marco ha detto...

Ormai questo Paese sta cadendo nel ridicolo... si fanno le leggi senza minimamente sapere cosa c'è nella realtà. E questo è un caso tipico. Dopo aver creato uno scompiglio in tutte le Aziende e le Pubbliche Amministrazioni, si aspetta l'ultimo giorno per prorogare di nuovo. Così facendo purtroppo si dà ragione a coloro che non se ne fregano niente e vanno avanti lo stesso senza dannarsi tanto l'anima.