Il 15 dicembre 2009 è scaduto il termine fissato dal Garante entro il quale dovevano essere adottate, da parte di Enti e società, le misure tecniche e organizzative che riguardano la figura degli “amministratori di sistema”.
Con la definizione di “amministratore di sistema” si intendono figure professionali competenti alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
In tale definizione rientrano anche altre figure equiparabili, dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate siano attribuite all’incaricato del trattamento dei dati, ai sensi dell’art. 30 del Codice, in base al quale “i dati personali oggetto di trattamento sono custoditi e controllati in modo da ridurre al minimo mediante l’adozione di idonee e preventive misure di sicurezza dei dati stessi”, il Titolare e il Responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei Responsabili del trattamento dati.
Designazione
La nomina dell’amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, secondo quanto delineato dall’art. 29, commi 2 e 3.
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone nominate quali amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il Titolare non sia tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile.
Qualora l’attività degli amministratori riguardi anche, indirettamente, servizi o sistemi che trattano o permettono il trattamento di informazioni di carattere personale di lavoratori, i datori di lavoro, pubblici o privati, sono tenuti a rendere nota o conoscibile l’identità degli amministratori nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.
Nel caso di servizi affidati in outsourcing, il Titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema esterni.
Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte del Titolare, il quale dovrà controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati previste dalle norme vigenti.
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Inoltre, devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per almeno sei mesi.