Amministratori di Sistema: entro il 30 giugno bisogna adottare le misure tecniche e organizzative stabilite dal Garante con il Provvedimento del 27 novembre 2008 (Bollettino n.99/2008)   Il Provvedimento del 27 novembre 2008 - Bollettino n. 99/2008 dell’autorità Garante per la Protezione dei dati Personali (pubblicato sulla G.U. 300 del 24 dicembre 2008) prevede una serie di obblighi a carico delle aziende che si aggiungono a quanto sinora previsto dalla normativa in ambito di “privacy”. Più precisamente il Garante per la protezione dei dati personali ha ribadito che con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. Pertanto il Garante ha individuato le seguenti regole per individuare e definire puntualmente i compiti di tali soggetti:   Obbligo della designazione individuale Le aziende e gli enti devono operare la designazione individuale (nominativa) degli amministratori di sistema; tale designazione deve recare anche l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Pertanto si evince che i principi di individuazione degli amministratori di sistema devono avvenire con criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.   Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.   Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.   Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.   Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.   Commento: il provvedimento del Garante in materia prevede due tipologie di incombenze per quanto riguarda gli amministratori di sistema Pertanto prevede tra le principali incombenze a carico dei titolari: - Definizione della figura dell’amministratore di sistema - Tipologie di amministratori di sistema - Obbligo di individuazione e designazione nominale degli amministratori - Prevedere una sezione del DPS dedicata agli amministratori - Regime di pubblicità per gli amministratori che operano sui dati del personale - Produzione degli “Access Log” degli amministratori sui vari sistemi - Conservazione degli “Access Log” per almeno 6 mesi con “caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità” COMPET-E propone ai propri utilizzatori una soluzione in grado di affrontare tali problematiche abbattendone il costo di gestione ed assicurandone una gestione completa e strutturata. PRIVACY-C® AS