Imprese e PA devono avere un amministratore di sistema, secondo quanto previsto dal provvedimento della privacy del 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale del 24 dicembre 2008.
La misura consiste nella individuazione e nella nomina formale di chi amministra i sistemi informativi di un’azienda, di un ente o di uno studio professionale.
Tale provvedimento ha, secondo il Garante, lo scopo di elevare il livello di sicurezza nel trattamento dei dati collegati con gli elaboratori, responsabilizzando enti pubblici, imprese e professionisti e obbligandoli a rivolgersi a persone preparate in grado di fornire un livello adeguato di tutela degli elaboratori. L’adempimento può però incontrare alcune difficoltà interpretative e attuative. A questo scopo il Garante ha pubblicato alcune FAQ sul suo sito istituzionale.
A CHI SI APPLICA
Il Garante ha precisato in un comunicato del 10 dicembre 2009 chi è tenuto alla nomina dell’amministratore di sistema e agli altri adempimenti connessi.
Questo allo scopo di arginare “azioni promozionali da parte di consulenti che rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici”. Il Garante ha chiarito che le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o aver fatto ricorso alla figura professionale dell’amministratore di sistema o una figura equivalente. Di conseguenza le prescrizioni non si applicano a quei soggetti, anche di natura associativa, che dispongano di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, privi di una figura professionale dedicata all’amministrazione dei sistemi. In sintesi, quello che conta è il dato dimensionale e organizzativo (anche se non si stabiliscono espressamente livelli soglia).
LOGGING
Il provvedimento prevede, tra gli altri adempimenti, il cosiddetto logging, cioè la registrazione degli accessi dell’amministratore di sistema, con indicazione dei tempi di apertura e chiusura dell’intervento e con la registrazione dell’evento che ha generato l’intervento.
Il Garante ha precisato nel comunicato del 15 dicembre 2009 che si può utilizzare software open source a costo zero per la registrazione degli accessi degli amministratori di sistema. L’adempimento può essere realizzato senza fare ricorso a costosi applicativi.
Le indicazioni operative del Garante precisano che:
- L’obbligo di registrazione riguarda gli accessi logici ai sistemi di elaborazione e agli archivi elettronici
- I log devono essere conservati per un congruo periodo, non inferiore a sei mesi
- Non è richiesto che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema
- Nei casi più semplici la registrazione può essere soddisfatta tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere strumenti software o hardware aggiuntivi
- I titolari devono valutare se adottare strumenti più sofisticati (raccolta dei log centralizzata, dispositivi non riscrivibili, tecniche crittografiche per la verifica dell’integrità delle registrazioni)
- Per la nomina dell’amministratore di sistema è sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi
SANZIONI
Non nominare l’amministratore di sistema può costare caro in materia di privacy. L’omissione apre la strada all’applicazione della sanzione prevista dall’articolo 162, comma 2-ter, del Codice della privacy.
In caso di inosservanza delle disposizioni di prescrizione di misure obbligatorie o di divieto di cui all’articolo 154, comma 1, lettere c) e d), è applicata in sede amministrativa la sanzione del pagamento di una somma da 30.000 a 180.000 euro. Sanzioni che possono essere incrementate in presenza di situazioni aggravanti o in caso di non sufficiente deterrenza della sanzione edittale.
Fonte: Antonio Ciccia — Italia Oggi Sette, 25 gennaio 2010