Amministratori di sistema sotto la lente.

Si avvicina il termine di attuazione sulle nuove misure del Garante della Privacy, fissato per il 15 dicembre 2009. Quali misure avete adottato?

 

Il 30 giugno 2009 scade la proroga per mettersi in regola in riferimento alle nuove misure tecniche ed organizzative decise dal Garante per la Protezione dei Dati Personali.

Il provvedimento è stato pubblicato sulla G.U. n. 300 del 24 dicembre 2008 con la possibilità di intraprendere azioni entro 4 mesi, più la relativa proroga del 23 febbraio scorso, in materia.

 

I pareri riscontrati nel mondo ICT sono del tutto altalenanti poiché si viene a creare una situazione, da sempre al centro dell’attenzione, di “Quis custodiet ipsos custodes?” locuzione latina di Giovenale… insomma “Chi sorveglierà i sorveglianti?”.

Secondo il mio parere sembra un altro intruglio burocratico tipico di noi italiani, anche se penso sia un passo fondamentale in materia, viste le spiacevoli circostanze createsi per gli abusi di ruolo degli stessi amministratori di sistema; quindi linea dura da parte del Garante.

 

Come detto precedentemente le misure e cautele dovranno essere messe in atto entro il 30 giugno prossimo, salvo ulteriori rinvii, sia da aziende private che pubbliche nonché uffici giudiziari, forze di polizia, ad eccezione dei trattamenti di dati ad uso amministrativo contabile.

Si viene a delineare una figura, quella dell’amministratore di sistema, espressamente delineata nel DPR 318/99 ma scomparsa nell’attuale Codice Privacy (all. B D.LGS. 196/03). Tale figura viene riproposta in base all’esigenza di creare una più robusta regolamentazione ad un’emblema chiave nella gestione dei processi aziendali.

Il provvedimento risulta articolato con molti punti importanti e criticità operative che ne susseguono.

 

Vediamo in dettaglio cosa prevede.

 

 

“L’Amministratore o gli Amministratori di sistema sono non solo figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ma anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e apparati di sicurezza e gli amministratori di sistemi software complessi”

 

Quindi come possiamo constatare, vengono abbracciate e delineate tutta una serie di attività svolte nei processi aziendali.

Gli adempimenti previsti dal provvedimento si possono suddividere in aree:

 

• Valutazione delle caratteristiche soggettive

 

L’attribuzione delle funzioni di Amministratore di sistema vengono assegnate previa valutazione non solo delle capacità ed esperienza dell’individuo ma anche sull’affidabilità dello stesso, il quale deve fornire garanzia in rispetto delle norme vigenti.

 

• Designazioni individuali

 

L’attribuzione del ruolo di Amministratore deve essere individuale e redatta in apposito elenco analitico in base agli ambiti di operatività.

 

• Elenco degli Amministratori di sistema

 

L’elenco dovrà essere formato sia da chi è tenuto alla redazione del DPS, sia per chi è libero da quest’obbligo.

L’identità degli stessi devono essere rese conoscibili attraverso l’informativa resa agli interessati ai sensi dell’art. 13 de Codice nell’ambito del rapporto di lavoro, oppure tramite disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1 marzo 2007 o, in alternativa comunicazioni interne.

 

• Servizi in outsourcing

 

Nel caso di servizi di Amministratori di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamante, gli estremi identificativi delle persone fisiche preposte quali Amministratori.

 

• Verifica delle attività

 

L’operato degli Amministratori di sistema deve essere oggetto, con almeno cadenza annuale, di un attività di verifica da parte dei titolari del trattamento, in modo da controllare la corrispondenza alle misure organizzative, tecniche e di sicurezza previste dalle norme vigenti.

 

• Registrazioni degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi e agli archivi elettronici da parte degli Amministratori di sistema. I log derivanti devono rispondere alle caratteristiche quali completezza, invariabilità e possibilità di verifica dell’integrità. Le registrazioni devono comprendere i riferimenti temporali e descrizione dell’evento, conservate per un periodo non inferiore ai sei mesi.