Il Garante privacy ha prorogato al 15 dicembre 2009 i termini per l’adozione da parte di Enti e società delle misure tecniche e organizzative che riguardano la figura degli “amministratori di sistema”.
Con la definizione di “amministratore di sistema” si individuano figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite quale incaricato del trattamento ai sensi dell’art. 30 del Codice, in base al quale “i dati personali oggetto di trattamento sono custoditi e controllati in modo da ridurre al minimo mediante l’adozione di idonee e preventive misure di sicurezza dei dati stessi”, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29 del Codice.
Designazione
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, secondo quanto delineato dall’art. 29, commi 2 e 3.
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.
Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Inoltre, devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.