Privacy: la nomina dell’Amministratore di sistema

Lucia Volanti – consulente GÉODE

Il Garante per la protezione dei dati personali ha stabilito che entro il 15 dicembre 2009 venga predisposto un "elenco degli amministratori di sistema".Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico o nella modifica di quella già esistente ma richiede alle aziende una serie di attività.
L’obbligo di individuazione e nomina di amministratore di sistema è stato introdotto solamente per le organizzazioni che trattano dati personali con strumenti informatici ed elettronici, sono esclusi da tale obbligo i soggetti interessati dai recenti interventi di semplificazione.


La figura dell’amministratore di sistema non è nuovo nel nostro scenario normativo, difatti già la legge 675/1996 (con il regolamento attuativo DPR 318/1999) introduceva due nuovi ruoli: il preposto alla custodia della parola chiave e l’amministratore di sistema. Quest’ultimo è stato poi abrogato dall’art. 183 del D.Lgs. 196/2003, anche se le funzioni tipiche dell’amministratore di sistema sono state richiamante nell’allegato B: cioè relativo alla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.
Il Garante avendo riscontrato “non soltanto in organizzazioni di piccole dimensioni, ma anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle mansioni di amministratore di sistema, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico” ha reintrodotto la figura dell’Amministratore di Sistema con il Provvedimento 27 novembre 2008.
Questa nuova figura introduce notevoli mutamenti nella gestione della privacy delle organizzazioni, infatti i ruoli istituzionali previsti fino ad oggi consistevano nel Titolare del trattamento, nel Responsabile del trattamento e nell’Incaricato.
L’amministratore di sistema poteva essere individuato dal titolare quale incaricato o quale responsabile e dunque sottoposto ai poteri di controllo e di verifica in capo alla struttura; mentre ora la nuova figura dovrà essere individuata tra soggetti con caratteristiche professionali ben definite.
Per l’individuazione e la valutazione sarà opportuno predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti. Il curriculum vitae deve essere datato e firmato dall’amministratore incaricato e allegato alla nomina.
A livello operativo possiamo dire che l’amministratore di sistema non deve essere solo un bravo tecnico ma deve conoscere la normativa sulla  privacy.

Gli adempimenti principali per le aziende quindi sono essenzialmente questi:

1. Valutazione delle caratteristiche soggettive sotto il profilo professionale della persona a cui sarà assegnato l’incarico: deve trattarsi di un soggetto affidabile.
Il titolare del trattamento deve valutare l'esperienza, la capacità e l'affidabilità del soggetto designato quali amministratore di sistema che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza
La designazione dell’amministratore è individuale: deve essere predisposta un’apposita nomina scritta con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
L’incarico deve essere attribuito unicamente in via individuale e dunque non ad una società.

2. Elenco degli amministratori di sistema deve essere definito a cura del titolare del trattamento e da unire al DPS (Documento Programmatico sulla Sicurezza dei dati)  o comunque da esibire in un luogo visibile al pubblico e ai dipendenti.
Devono pertanto essere resi noti al pubblico e ai lavoratori i nominativi degli amministratori di sistema tramite menzione nel DPS.
“Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante”
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

3. Verifica delle attività svolte dall’amministratore sul sistema informatico con cadenza almeno annuale.
La verifica ha la finalità di controllare la  rispondenza dell’operato dell’amministratore di sistema alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

4. Registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste (non sono ammesse descrizioni abbreviate).
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

____________________________________________________________________________________

Torna alla pagina: Articoli »»