FOCUS - Garante privacy: adempimenti relativi all'amministratore di sistema

La figura dell'amministratore di sistema con il provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali, richiede adempimenti obbligatori urgenti. Ripercorriamoli sinteticamente partendo dalle recenti semplificazioni al provvedimento del 27 novembre 2008 ("Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"). Per tranquillizzare i molti che si sono sentiti ancora una volta bersaglio di normative poco "rispettose" del già pressante fardello di adempimenti in materia di “privacy e sicurezza” (vedi precedente D.lgs. 196/2003), proviamo ad esaminare alcuni aspetti di questo testo, pubblicato sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008.

Passerei direttamente al punto 6 delle FAQ in calce al testo della Gazzetta Ufficiale per comprendere quali siano i motivi di esclusione.

6) Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).

L'Autorità Garante ha previsto una "semplificazione" escludendo dall'applicazione la piccola e media impresa che tratti dati personali non sensibili o chi tratti, come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto, quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale. Sono comprese nella "semplificazione" la piccola e media impresa che tratti dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.

La semplificazione ad una prima lettura sembrerebbe escludere non pochi titolari dall'obbligo normativo. A ben leggere, ci potremo tuttavia rendere conto che molte aziende, anche piccole e medie, dovranno adottare il provvedimento.
Si pensi ad esempio ai molti titolari che trattano dati relativamente ai potenziali clienti, dei quali non si detengono i dati per fini amministrativi e contabili ma per fini promozionali, informativi, finalizzati al confezionamento di un'offerta. Oppure si pensi a tutte quelle strutture in Italia che detengono anche dati di tipo giudiziario, conseguenza diretta di contenziosi giudiziari.

Qualora riteniate di rientrare nelle categorie obbligate o nel dubbio di poter essere inclusi suggeriamo di sciogliere al più presto il nodo, visto che l'ultima proroga è datata 15 dicembre 2009.

Contestualmente a tale proroga avvenuta il 25 giugno 2009 il garante ha introdotto alcune importanti modifiche dal punto di vista operativo.
Viene anzitutto meno l’obbligo di inserire il nominativo dell’amministratore di sistema nel documento programmatico sulla sicurezza. E' sufficiente redigere un semplice documento, da mantenere aggiornato e disponibile per eventuali accertamenti, dove verrà indicato il nome dell'amministratore di sistema.

Oltretutto, sia per i servizi informatici affidati all'esterno che per quelli mantenuti all'interno della propria attività, la verifica stessa delle attività potrà essere effettuata oltre che dal titolare del trattamento anche dal responsabile del trattamento, attribuendogli le relative specifiche mansioni.

Per quanti non conoscono ancora il provvedimento del garante in materia di amministratori di sistema, riepiloghiamo in sintesi alcuni punti.

Valutazione delle caratteristiche soggettive dell'amministratore di sistema
La scelta amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza.

Designazione individuale

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti operativi consentiti e delle relative autorizzazioni.

Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche che svolgono la funzione di amministratore di sistema, con l’elenco delle funzioni attribuite, possono essere riportati nel documento programmatico sulla sicurezza o in un documento apposito distinto. Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare.


Servizi informatici affidati esternamente (outsourcing)
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi di tutte le persone fisiche che svolgono la funzione di amministratore di sistema.


Verifica delle attività
L’operato degli amministratori di sistema deve essere verificata, con cadenza almeno annuale, da parte dei titolari del trattamento, in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza, riguardanti i trattamenti dei dati personali previste dalle norme vigenti.


Registrazione degli accessi ai sistemi informatici
Devono essere adottati sistemi idonei alla registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.