Amministratori di Sistema: prorogati i termini per gli adempimenti al 30 Giugno 2009


          Il Garante per la Privacy, tenuto conto della vasta tipologia di soggetti interessati e dei quesiti che gli sono stati posti (sia da alcuni singoli titolari del trattamento che da alcune associazioni di categoria), ed in considerazione del primario obiettivo rivolto ad assicurare la massima diffusione e la più completa, chiara ed esatta conoscenza della normativa, come nel caso concreto, inerente l’attività di amministratore di sistema, ha ritenuto di dover prorogare al 30 Giugno 2009 i termini per gli adempimenti degli amministratori di sistema operanti presso enti, amministrazioni pubbliche e società private.


          A tal uopo l’Autorità del Garante ha adottato il provvedimento intitolato della “Proroga delle misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 12 febbraio 2009” (G.U. n. 45 del 24 febbraio 2009) con l’obiettivo “di unificare e contestualmente prorogare i termini per l’adempimento delle prescrizioni di cui al  provvedimento del 27 novembre 2008, prescrivendo che tutti i titolari del trattamento interessati (qualunque sia la data di inizio dei trattamenti che li riguardano) adottino le misure e gli accorgimenti di cui al punto 2 del dispositivo del provvedimento medesimo entro il 30 giugno 2009”.


 


          Il Punto 2 del provvedimento citato, e richiamato in quello attuale di proroga dei termini, intitolato “Quadro di riferimento Normativo” stabilisce che “nell’ambito del Codice (della privacy) il presente provvedimento si richiama, in particolare, all’art. 154, intitolato dei “Compiti”, comma 1, lett. h), nel quale rientrano tra i compiti dell’Autorità quello di promuovere la “conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati”. La lett. c) del medesimo comma 1 prevede poi la possibilità, da parte del Garante di “prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143”, denominato del “Procedimento per i reclami”, il quale sancisce, al comma 1,  che “esaurita l’istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento può, come da lettera b), prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti”, inoltre, al comma 2 viene sancito che “i provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti”.      Tali sono i presupposti normativi che hanno giustificato l’adozione, da parte dell’Autorità del Garante, del provvedimento in questione.


 


Amministratore di Sistema. Le procedure da adottate entro il termine di scadenza della proroga


 


          Nello specifico il medesimo provvedimento, intitolato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, le cui prescrizioni sono oggetto di proroga entro il 30 Giugno 2009, prevede, in sintesi, l’adozione delle seguenti misure:


 


1) L’ente pubblico o l’azienda privata deve attribuire la funzione di amministratore di sistema ai sensi degli articoli 29 e 30, del Decreto Legislativo 30 Giugno 2003 n. 196, secondo i quali:


          – il responsabile del trattamento (nel caso specifico l’amministratore di sistema) è designato facoltativamente dal titolare del trattamento dei dati;


          – il titolare deve scegliere, ai fini dell’affidamento dell’incarico, il soggetto che offre maggiori garanzie in materia di conoscenza ed applicazione pratica della normativa in materia di trattamento dei dati e del sistema di gestione della sicurezza dei dati;


          – il titolare, se lo ritiene opportuno per esigenze organizzative, può designare più soggetti preposti alla figura di amministratore di sistema anche con una suddivisione dei compiti;


          – i compiti affidati al responsabile del trattamento, cioè all’amministratore di sistema, devono essere resi per iscritto da parte del titolare;


          – l’amministratore di sistema deve procedere ad eseguire il trattamento dei dati sulla scorta delle indicazioni scritte del titolare, eseguendo delle verifiche periodiche  e vigilare sulla puntuale osservanza sia del disposto normativo che delle istruzioni che ha ricevuto;


          – le operazioni di trattamento dei dati possono essere eseguite solo ed esclusivamente dall’amministratore di sistema che opera sotto la diretta autorità del titolare o del responsabile e nel rispetto delle istruzioni impartite;


– l’affidamento dell’incarico di amministratore di sistema deve essere reso per iscritto, da parte, ovviamente, del titolare dei trattamento dei dati, così come le relative istruzioni;


 


2) La designazione all’incarico di amministratore di sistema deve essere individuale e deve specificare, in modo dettagliato, gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.


 


3) Il titolare del trattamento dei dati deve predisporre un elenco degli amministratori di sistema, riportando in esso i dati identificativi del soggetto o dei soggetti preposti a tale funzione; le funzioni attribuite,  devono essere inserite all’interno del Documento Programmatico di Sicurezza; invece, nel caso in cui il titolare non è tenuto a redigere il suddetto Documento tali informazioni dovranno essere annotati in un documento interno da tenere aggiornato e a disposizione degli organi di controllo e vigilanza.


          – Se l’amministratore di sistema,  tratta, direttamente o indirettamente, dati ed informazioni di carattere personale dei lavoratori, i rispettivi titolari, siano essi enti pubblici o aziende private, devono rendere pubblica l’identità dell’amministratore di sistema alle proprie organizzazioni, in relazione alla caratteristica dell’azienda o del servizio e ai servizi informatici cui esso è preposto;


          – L’attività di pubblicazione dei dati identificativi dell’amministratore di sistema, di cui al punto precedente, potrà essere svolta mediante l’informativa resa agli interessati (ai sensi dell’articolo 13 del Decreto Legislativo 30 Giugno 2003, n. 196) oppure attraverso il Disciplinare Tecnico (in conformità del provvedimento del Garante n. 13 del 1° marzo 2007, pubblicato in G.U. 10 marzo 2007, n. 58) o tramite gli strumenti aziendali di comunicazione interna (intranet, ordini di servizio interni o bollettini), salvo diverse disposizioni in materia di forme di pubblicità o conoscibilità.


 


4) Se il servizio di amministrazione di sistema è affidato in outsourcing, allora il titolare deve conservare, ad ogni possibile ed eventuale evenienza, gli estremi identificativi dei soggetti (persone fisiche) preposti alle funzioni di amministratori di sistema.


 


5) Si deve procedere, altresì, a verifica, almeno con cadenza annuale, da parte dei titolari del trattamento, dell’attività svolta dagli amministratori di sistema con particolare riferimento all’adozione e rispetto delle misure organizzative, delle tecniche di sicurezza riguardanti i trattamenti dei dati personali sanciti dalla normativa vigente.


 


6) Deve essere adottata la procedura di identificazione informatica ovvero devono essere registrati gli accessi logici ai sistemi di elaborazioni e agli archivi informatici da parte degli amministratori di sistema. Le registrazioni del tipo access e log devono rispondere ai requisiti di completezza, inalterabilità e accesso alla verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.


          – Le registrazioni devono comprendere i riferimenti temporali, la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.


 


Luigi Risolo


9 Marzo 2009


Partecipa alla discussione sul forum.