Con tale provvedimento il Garante aveva riproposto una figura che era espressamente contemplata nella abrogata normativa privacy (DPR 318/99), ma che era di fatto scomparsa nel disciplinare tecnico del Codice Privacy (all. B al D.LGS. 196/03). Il Garante ha deciso di re-inserire nella normativa tale figura, sulla base della esigenza sentita dal Garante di dare una più robusta regolamentazione ad una figura chiave nella gestione dei processi aziendali.
Il provvedimento è articolato, e molti sono i punti importanti e le criticità operative che ne conseguono.
Ecco nel dettaglio cosa prevede il provvedimento del Garante.
– Definizioni.
Gli Amministratori di sistema sono non solo le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ma anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Il Garante, ha, quindi, ampliato la definizione della normativa previgente (DPR 318/99) che definiva amministratore di sistema il soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione.
– Adempimenti
a) NOMINA/ DESIGNAZIONE DEGLI AMMINISTRATORI DI SISTEMA
Secondo il Garante, attesa la particolare significatività del ruolo svolto, la soluzione naturale nella attribuzione del ruolo privacy all’amministratore di sistema è quella della sua designazione a responsabile del trattamento. La designazione, peraltro, è e resta facoltativa, ma con una disposizione abbastanza anomala, il provvedimento prevede come anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29;
b) ELENCO
E’ necessario redigere un elenco degli amministratori di sistema, che dovrà essere formato sia da chi è tenuto alla redazione del DPS, sia per chi è libero da quell’obbligo.
Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, l’identità degli amministratori di sistema devono essere rese conoscibili attraverso l’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini).
c) SERVIZI IN OUTSOURCING
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
d) VERIFICA DELLE ATTIVITA’
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
e) REGISTRAZIONE DEGLI ACCESSI
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
***
Devono nominare l’amministratore di sistema tutti i titolari del trattamento, ad eccezione dei soggetti investiti dalla semplificazioni dal provvedimento del Garante del 27 novembre 2008, ovvero:
a) le pubbliche amministrazione sia le imprese e professionisti che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all’adesione a organizzazioni sindacali;
b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.
Da quanto risulta, l’elemento complesso dalla nuova normativa del Garante è l’applicazione della parte informatica per la registrazione degli accessi, che può, peraltro, comportare anche un investimento economico da parte dell’azienda.
Probabilmente è questa la ragione della proroga promossa dal Garante.
Ora quindi, gli adempimenti sopra indicati dovranno per tutti essere adottati entro il 30 giugno 2009. (Alessandra Delli Ponti per NL)