Privacy: criteri e tempi di riordino dell’attività degli Amministratori di Sistema per effetto del Provvedimento del Garante per la Privacy del 27.11.2008

          L’Autorità del Garante per la Protezione dei Dati Personali  con provvedimento denominato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)” ha inteso e deciso di richiamare l’attenzione di tutti i soggetti economici ivi compresi enti ed amministrazioni varie i quali hanno all’interno della loro struttura la figura professionale dell’amministratore di sistema; oggetto di tale provvedimento, come meglio chiarito nel comunicato stampa del Garante per la Protezione dei dati Personali del 14 Gennaio 2009 è la focalizzazione dell’attenzione da parte dei soggetti in precedenza indicati in merito all’attività svolta dall’amministratore di sistema, ai suoi compiti e funzioni prescrivendo specifiche misure tecniche ed organizzative atte a consentire più speditamente il controllo e la verifica dell’attività da egli svolta.


 


         Innanzitutto l’Amministratore di Sistema è il soggetto cui è conferito il compito di presiedere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione. In questo contesto l’amministratore di sistema assume anche le funzioni di amministratore di rete, ovvero del soggetto che deve sovrintendere alle risorse di rete e di consentirne l’utilizzazione. L’amministratore deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali.


 


          La figura dell’Amministratore di rete, pertanto è parte fondamentale sia del Documento Programmatico di Sicurezza che dell’intero sistema di gestione del trattamento dei dati e ad esso sono consentite le seguenti attività: monitorare o utilizzare qualsiasi tipo di sistema informatico o elettronico al fine di verificare il corretto utilizzo delle risorse di rete, degli applicativi nonché copiare o rimuovere file e software, purchè  tutto ciò rientri nella normale attività di gestione della sicurezza dei dati e nel rispetto della tutela degli stessi; modificare, creare o eliminare le password solo per oggettivi e determinanti motivi e previa informazione al custode delle password; rimuovere programmi software, purchè ciò rientri nella normale attività di manutenzione e nel rispetto della tutela della riservatezza dei dati trattati; rimuovere componenti hardware, purchè ciò rientri nella normale attività di manutenzione e nel rispetto della tutela della riservatezza dei dati trattati.


 


          La nomina della figura dell’Amministratore di Sistema avviene con apposita lettera di incarico la quale, una volta sottoscritta da le parti in questione, viene allegata  al Documento Programmatico di Sicurezza.


          Nello spesso provvedimento è premessa la figura dell’Amministratore di Sistema richiamando la definizione di cui all’articolo 1, comma 1, lettera c, del D.P.R. 318/1999 cioè di un soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”  e nel contempo gli articoli del Codice Penale in riferimento ai possibili reati ai quali potrebbe andare incontro tale figura del tipo: abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) di recente modifica.


 


          Il provvedimento in questione si richiama all’articolo 154, denominato dei “Compiti”,  comma 1, lettera h del Decreto Legislativo n. 196 del 30 Giugno 2003, il quale sancisce che il Garante deve “curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati”. Tra, l’altro, lo stesso Garante, a ciò, ha aggiunto anche le risultanze delle ispezioni eseguite le quali hanno evidenziato in diversi casi un ruolo degli amministratori di sistema considerato del tutto superficialmente rispetto alle competenze vere e proprie, inducendo l’Autorità ad emanare un Decreto di tale portata.


 


          E nello specifico il medesimo provvedimento prevede quanto di seguito esposto:


 


a. Valutazione delle caratteristiche soggettive


L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.


Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.


 


b. Designazioni individuali


La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.


 


c. Elenco degli amministratori di sistema


Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.


Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.


 


d. Servizi in outsourcing


Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.


 


e. Verifica dell’attività


L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.


 


f. Registrazione degli accessi


Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


 


          Per ciò che attiene i tempi entro i quali aziende private ed enti pubblici (ivi compresi uffici giudiziari, forze di polizia e servizi di sicurezza) dovranno adottare le misure e le azioni a favore degli amministratori di sistema, il provvedimento concede un periodo di quattro mesi dalla data di pubblicazione del provvedimento del Garante nella Gazzetta Ufficiale.


 


Luigi Risolo


6 Febbraio 2009

Condividi:
Maggioli ADV
Gruppo Maggioli
www.maggioli.it
Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it www.maggioliadv.it