GLI AMMINISTRATORI DI SISTEMA

Il Garante ha recentemente riproposto una figura non presente nel Codice Privacy: l'amministratore di sistema (Provvedimento dedicato agli amministratori di sistema_, _adottato il 27 novembre 2008, pubblicato nella G.U. n. 300 del 24 dicembre 2008).

Il Garante ripropone una figura che era espressamente contemplata nel vecchio DPR 318/99, ma che era di fatto scomparsa nel disciplinare tecnico del Codice Privacy (all. B al D.LGS. 196/03). Oggi tale figura viene riproposta, sulla base della esigenza sentita dal Garante di dare una piu robusta regolamentazione ad una figura chiave nella gestione dei processi aziendali.

Il provvedimento e articolato, e molti sono i punti importanti e le criticita operative che ne conseguono.

Ecco nel dettaglio cosa prevede il provvedimento del Garante.

- Definizioni.

Gli Amministratori di sistema sono non solo le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ma anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Il Garante, ha, quindi, ampliato la definizione della normativa previgente (DPR 318/99) che definiva amministratore di sistema il soggetto al quale e conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione.

- Adempimenti

a) NOMINA/ DESIGNAZIONE DEGLI AMMINISTRATORI DI SISTEMA

Secondo il Garante, attesa la particolare significativita del ruolo svolto, la soluzione naturale nella attribuzione del ruolo privacy all'amministratore di sistema e quella della sua designazione a responsabile del trattamento. La designazione, peraltro, e e resta facoltativa, ma con una disposizione abbastanza anomala, il provvedimento prevede come anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29;

b) ELENCO

E' necessario redigere un elenco degli amministratori di sistema, che dovra essere formato sia da chi e tenuto alla redazione del DPS, sia per chi e libero da quell'obbligo.

Qualora l'attivita degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, l'identita degli amministratori di sistema devono essere rese conoscibili attraverso l'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini).

c) SERVIZI IN OUTSOURCING

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;

d) VERIFICA DELLE ATTIVITA'

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attivita di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

e) REGISTRAZIONE DEGLI ACCESSI

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilita e possibilita di verifica della loro integrita adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

- Eccezioni

Sono esentati dall'applicazione del provvedimento del Garante coloro che rientrano nell'ambito di applicazione del parallelo provvedimento 27.11.08 del Garante sulle semplificazioni e, quindi:

a) le pubbliche amministrazione sia le imprese e professionisti che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;

b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.