nomina di Amministratore di Sistema
* Assegnare la nomina di Amministratore di Sistema dopo attenta valutazione di esperienza, capacità e affidabilità del soggetto designato;
* Prevedere, in fase di nomina, l’elenco degli ambiti di operatività consentiti all’Amministratore di Sistema;
* Riportare sul DPS l’elenco degli estremi identificativi degli Amministratori di Sistema e le funzioni a loro attribuite (se accedono a dati personali dei lavoratori, il titolare del trattamento deve rendere noti gli estremi dell’Amm. di Sistema ai lavoratori nel modo ritenuto più idoneo);
* Verificare annualmente le attività svolte dall’Amministratore di Sistema in relazione al rispetto delle misure di sicurezza previste dal DPS;
* Prevedere la registrazione degli accessi dell’Amministratore di Sistema al sistema e agli archivi. Tali registrazioni devono comprendere riferimenti temporali, riferimento all’evento che le ha generate e devono essere conservate almeno per sei mesi.
* Prevedere, in fase di nomina, l’elenco degli ambiti di operatività consentiti all’Amministratore di Sistema;
* Riportare sul DPS l’elenco degli estremi identificativi degli Amministratori di Sistema e le funzioni a loro attribuite (se accedono a dati personali dei lavoratori, il titolare del trattamento deve rendere noti gli estremi dell’Amm. di Sistema ai lavoratori nel modo ritenuto più idoneo);
* Verificare annualmente le attività svolte dall’Amministratore di Sistema in relazione al rispetto delle misure di sicurezza previste dal DPS;
* Prevedere la registrazione degli accessi dell’Amministratore di Sistema al sistema e agli archivi. Tali registrazioni devono comprendere riferimenti temporali, riferimento all’evento che le ha generate e devono essere conservate almeno per sei mesi.
Commenti
Il Garante avendo riscontrato “non soltanto in organizzazioni di piccole dimensioni, ma anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle mansioni di amministratore di sistema, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico” ha reintrodotto la figura dell’Amministratore di Sistema con il Provvedimento 27 novembre 2008.
Questa nuova figura introduce notevoli mutamenti nella gestione della privacy delle organizzazioni, infatti i ruoli istituzionali previsti fino ad oggi consistevano nel Titolare del trattamento, nel Responsabile del trattamento e nell’Incaricato.
L’amministratore di sistema poteva essere individuato dal titolare quale incaricato o quale responsabile e dunque sottoposto ai poteri di controllo e di verifica in capo alla struttura; mentre ora la nuova figura dovrà essere individuata tra soggetti con caratteristiche professionali ben definite.
Per l’individuazione e la valutazione sarà opportuno predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti. Il curriculum vitae deve essere datato e firmato dall’amministratore incaricato e allegato alla nomina.
Il titolare del trattamento deve valutare l'esperienza, la capacità e l'affidabilità del soggetto designato quali amministratore di sistema che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza
La designazione dell’amministratore è individuale: deve essere predisposta un’apposita nomina scritta con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
L’incarico deve essere attribuito unicamente in via individuale e dunque non ad una società.
Devono pertanto essere resi noti al pubblico e ai lavoratori i nominativi degli amministratori di sistema tramite menzione nel DPS.
“Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante”
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste (non sono ammesse descrizioni abbreviate).
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.