PRIVACY - NOMINA DELL’AMMINISTRATORE DI SISTEMA - ADEMPIMENTI - PROROGA AL 15 DICEMBRE 2009 - PROVVEDIMENTO DEL GARANTE 25/6/2009

 

Sulla Gazzetta Ufficiale n. 149 del 30 giugno 2009 è stato pubblicato il provvedimento 25 giugno 2009 che apporta modifiche al provvedimento del 27 novembre 2008, recante “prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, con cui il Garante della Privacy, a seguito degli interventi risultanti dalla consultazione pubblica indetta lo scorso aprile e volta ad ottenere osservazioni e commenti, ha ulteriormente prorogato il termine previsto per il 30 giugno al 15 dicembre 2009.

In particolare, l’Autorità ha previsto che tutti gli adempimenti connessi all’Amministratore di Sistema e alla tenuta dei relativi elenchi possano essere realizzati, oltre che dal titolare del trattamento, anche dal responsabile dello stesso.

Si rammenta inoltre che, in occasione delle risposte alle faq formulate successivamente alla pubblicazione in Gazzetta Ufficiale del provvedimento del 27 novembre 2008, il Garante della Privacy ha specificato che per Amministratore di Sistema deve intendersi quella ‘’...figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise Resource Planning), utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali....’’.

Il riferimento esplicito che dà il Garante ai sistemi di gestione dati effettuati da grandi aziende e organizzazioni, circoscrive pertanto il raggio di applicazione del provvedimento, escludendo tutte quelle aziende che rientrano nel novero delle Piccole e Medie Imprese e che effettuano trattamenti in ambito pubblico e privato a soli fini amministrativo-contabili, ovvero di tutte quelle realtà i cui trattamenti informatici pongono minori rischi per gli interessati e che già sono state oggetto delle misure di semplificazione introdotte a seguito delle novità legislative del 2008 (art. 29 D.L. 25 giugno 2008, n. 112, convertito, con modifiche, con Legge del 6 agosto 2008, n. 133).

 

Nello specifico, gli adempimenti da adottare entro il termine sopra indicato sono:

 

Valutazione professionale

Valutazione della capacità ed affidabilità della persona chiamata a ricoprire il ruolo di Amministratore di Sistema, soggetto che deve garantire l’assoluto rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

 

Registrazione degli accessi

Individuazione specifica di sistemi di controllo che permettano la registrazione degli accessi effettuati dagli Amministratori di Sistema ai sistemi di elaborazione e agli archivi informatici. Le registrazioni devono includere i riferimenti temporali e la descrizione dell’evento che le ha prodotte, con obbligo di conservazione per un adeguato periodo, non inferiore a sei mesi.

 

Verifica della attività

Controllo, almeno a cadenza annuale, da parte dei Titolari del trattamento sulla conformità dell’operato degli Amministratori di Sistema alle misure organizzative, tecniche e di sicurezza previste dalla normativa in materia di trattamenti di dati personali.

 

Elenco degli Amministratori di Sistema e loro caratteristiche

Inserimento nel Documento Programmatico della Sicurezza (DPS) o in un documento interno (disponibile in caso di verifiche da parte dell’Autorità Garante) degli estremi identificativi degli Amministratori di Sistema ed elenco specifico dei compiti a loro attribuiti.

 

Si fa riserva di fornire ulteriori chiarimenti alla luce di nuovi indirizzi del Garante.