Amministratori di Sistema: i chiarimenti del Garante

Come noto nel mese di novembre 2008 il Garante ha riproposto nella disciplina della privacy la figura di amministratore di sistema, presente nella normativa previgente al D.lgs. 196/2003.

Il Provvedimento del Garante sugli amministratori di sistema ha suscitato non poche perplessita applicative sia negli aspetti sostanziali (quando va applicato?) sia per gli aspetti tecnico - informatici.

Non a caso l'applicazione della normativa ha ricevuto una proroga e la sua applicazione e stata spostata al 30 giugno 2009 per consentire che i nuovi adempimenti fossero adeguatamente capiti e "digeriti".

In vista di tale data il Garante ha avviato una consultazione pubblica, chiusa il 30 maggio, ma in attesa dei risultati della stessa, lo stesso Garante ha anche pubblicato sul proprio sito internet delle interessanti FAQ. In generale la posizione del Garante e il messaggio che sembra trasparire e: flessibilita e niente panico!

Rimandando al sito Internet (http://www.garanteprivacy.it/garante/doc.jsp?ID= 1577499#FAQ ) per la lettura per esteso delle risposte fornite del Garante, in questa sede si segnaleranno le precisazioni che si ritengono piu significative.

SOGGETTI TENUTI A NOMINARE

Forse qualche chiarezza in piu su chi e esentato dalla nomina di amministratore di sistema sarebbe stato utile poiche non e chiaramente disciplinato (non c'e un elenco di soggetti esonerati) e non e univoco il parametro dell'esonero. A questo proposito il provvedimento del Garante esclude "i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008".

La risposta da una FAQ porta qualche elemento di chiarezza: per il Garante, rientrano tra i trattamenti per ordinarie finalita amministrativo-contabili la gestione dell'autoparco, le procedura di acquisto dei materiali di consumo, la manutenzione degli immobili sociali.

Un altro aspetto importante precisato dal Garante e che NON e amministratore di sistema il soggetto che solo occasionalmente interviene (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

REGISTRAZIONE DEGLI ACCESSI LOGICI

Una serie di domande poste al Garante riguarda il problema della registrazione degli accessi dell'amministratore di sistema (access log).

La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalita (orari, durata, sistemi a cui si e fatto accesso) non e invece richiesto che vengano registrati dati sull'attivita interattiva degli amministratori di sistema (comandi impartiti, transazioni effettuate).

Nei casi piu semplici - ha precisato il Garante - la registrazione puo essere soddisfatta tramite funzionalita gia disponibili nei piu diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi.. Peraltro, sempre i sistemi operativi piu diffusi garantiscono anche l'inalterabilita delle registrazioni attraverso l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibile.

È onere del titolare valutare se adottare sistemi piu sofisticati (raccolta di log centralizzata, dispositivi non riscrivibili, etc..)

Si precisa anche la previsione da parte del Garante di un caso "borderline", in caso di piccolissime realta di impresa in cui, pur svolgendo attivita non esentate dal provvedimento, il titolare svolge funzioni di unico amministratore di sistema. In tale caso non si applicheranno le previsioni relative alla verifica delle attivita dell'amministratore ne la tenuta del log degli accessi informatici.

AMBITO DI OPERATIVITA'

Il provvedimento del 27 novembre 2008 prevede che nella designazione dell'amministratore di sistema il titolare indichi "l'elencazione analitica degli ambiti di operativita consentiti in base al profilo di autorizzazione assegnato".

Cosa si intende pero per ambito di operativita lo ha chiarito il Garante.

In particolare e sufficiente specificare l'ambito di operativita in termini piu generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.