Proroga al 30 Giugno delle disposizioni relative agli amministratori di sistema
- Dettagli
- Creato: Lunedì, 06 Aprile 2009 11:01
Prorogati i termini inerenti le "misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"
In data 12 febbraio 2009 il Garante per la protezione dei dati personali ha rinviato al 30 giugno 2009 il termine per applicare le misure e gli accorgimenti previsti dal provvedimento del 27 novembre 2008 inerente gli amministratori di sistema.
Il provvedimento ha destato innumerevoli dubbi applicativi e censure di opportunità anche considerando i pesantissimi oneri organizzativi e tecnologici che sarebbero dovuti in caso di applicazione letterale.
In realtà, il Garante stesso sa che il provvedimento è in gran parte difficilmente interpretabile anche considerando che le terminologie usate appaiono più vicine a un blog di specialisti che a un provvedimento avente carattere di obbligatorietà (si pensi ad esempio all'utilizzo della parola "outsourcing" o alla dizione "l'amministratore non consulti "in chiaro" le informazioni medesime"dove le virgolette interne sono del Garante stesso).
Succintamente, si ricorda che gli adempimenti prescritti dal Garante sono:
a. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato (dubbio: cosa si possa mai intendere per "affidabilità").
b. La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c. L'indicazione nel documento programmatico sulla sicurezza degli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite d. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema e. La verifica sull'operato degli amministratori di sistema con cadenza almeno annuale al fine di verificare la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti (attività del tutto da verificare in relazione alla congruenza con lo Statuto dei Lavoratori) f. L'adozione di sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) dovranno avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.
(Autore: Gabriele Faggioli, comitato direttivo Clusit - eBiz Italia del 4 marzo)