Privacy Amministratore di sistema
1. ai sensi dell'art. 154, comma 1, lett. h) del Codice, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sull'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato;
2. ai sensi dell'art. 154, comma 1, lett. c) del Codice prescrive l'adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):
a. Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.
b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c. Elenco degli amministratori di sistema3
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.
d. Servizi in outsourcing3
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
e. Verifica delle attività3
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;
3. dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che è congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati (vedi proroga al punto c) del provv. 25 giugno 2009);
3 bis. dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali;4
4. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia–Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.
2. ai sensi dell'art. 154, comma 1, lett. c) del Codice prescrive l'adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):
a. Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.
b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c. Elenco degli amministratori di sistema3
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.
d. Servizi in outsourcing3
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
e. Verifica delle attività3
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;
3. dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che è congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati (vedi proroga al punto c) del provv. 25 giugno 2009);
3 bis. dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali;4
4. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia–Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.
Il tema legato all'implementazione di misure di sicurezza e del rispetto della normativa sulla privacy è stato da sempre al centro dell'attenzione di quanti si trovano a gestire grandi banche dati o ad essere titolari o responsabili deltrattamento o della conservazione all'interno di importanti aziende.
Per quest'ultimi, infatti, sono state previste nuove cautele da rispettare nella scelta e nomina degli amministratori di sistema. L'individuazione precisa e responsabile di tali soggetti, infatti, riveste una notevole importanza, perché è una delle scelte fondamentali all'interno di un'azienda e contribuisce a incrementare la complessiva sicurezza dei trattamenti svolti. Basti pensare, infatti, che molto spesso l'amministratore di sistema è dotato di una particolare posizione a cui spetta anche la capacità di stabilire - in raccordo con il titolare e/o eventuali altri responsabili dei relativi trattamenti - chi può accedere in modo privilegiato alle risorse del sistema informativo e a tutti i dati personali aziendali (anche sensibili): per tale motivo gli amministratori di sistema devono essere scelti con particolare attenzione, poiché i rischi che possono correre le banche dati o le reti informatiche sono sempre più elevati.
Dopo le recenti e numerose modifiche normative o "di prassi" a cui abbiamo assistito negli ultimi tempi, ecco che viene pubblicato un ulteriore provvedimento del Garante Privacy che introduce un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici e di garanzia della sicurezza degli stessi dati e sistemi.
Il Garante Privacy, infatti, con un provvedimento del 27 novembre 2008 ("Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"), ha introdotto l'obbligo per gli amministratori di sistema (compresi coloro che svolgono la mansione di amministratore di rete, di data base o i manutentori), di conservare gli "access log" per almeno sei mesi in archivi immodificabili e inalterabili.
Devono, cioè, essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e, novità forse più importante, gli access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi). Come non pensare a processi di conservazione digitale in linea con regole tecniche previste dall'art. 71 del Codice dell'amministrazione digitale e oggi contenute nella deliberazione CNIPA n. 11/2004 e nel DPCM 13 gennaio 2004?
I titolari dovranno altresì favorire una più agevole conoscenza, nell'ambito della propria organizzazione, dell'esistenza di eventuali amministratori di sistema: è importante garantire, in questo modo, la conoscibilità dell'esistenza di tali figure e di chi svolge ruoli analoghi all'interno di tutti gli enti e le organizzazioni; viene precisato, inoltre, che gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del DPS e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
A parere di chi scrive, quindi, per evitare spiacevoli sanzioni, ogni titolare dovrà verificare che tale elencazione sia stata effettuata nell'ambito del prossimo aggiornamento annuale del DPS e, nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.
Se poi l'attività degli amministratori di sistema riguarda, anche indirettamente, servizi o sistemi che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati, in qualità di datori di lavoro, sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema all'interno delle proprie organizzazioni attraverso apposita informativa ex art. 13 d.lgs. 196/2003 (in alternativa si possono utilizzare anche strumenti di comunicazione interna quali l'intranet aziendale, ordini di servizio a circolazione interna etc.). Sono fatti salvi, in ogni caso, i casi di esclusione per legge di tale forma di pubblicità o conoscibilità.
Nel caso, poi, di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà l'obbligo conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull'operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o per i professionisti che trattano dati personali per le sole finalità amministrative e contabili.
Proviamo ora ad esaminare i motivi per i quali il Garante ha ritenuto necessario introdurre tale ulteriore adempimento:
1 - In primo luogo, gli amministratori di sistema, o coloro che gestiscono l'accesso a banche dati, sono generalmente preposti a operazioni da cui discendono grandi responsabilità ed elevate criticità rispetto alla protezione dei dati personali a cui hanno accesso. Ricordiamo, infatti, che per sua natura l'amministratore di sistema è dotato di una capacità di azione propria e di un rapporto fiduciario che lo lega al titolare nello svolgimento delle relative mansioni (ruolo così importante per le aziende e per le grandi organizzazioni pubbliche e private, tanto da farlo nominare a volte anche quale responsabile del trattamento). Ma anche nelle piccole realtà tale figura riveste una certa importanza, perché dovrebbe essere preposto a compiti di vigilanza e controllo del corretto utilizzo del sistema informatico gestito e utilizzato;
2 - In secondo luogo, le attività di backup o disaster recovery (regolamentate anche nel Codice Privacy), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione o la semplice manutenzione hardware comportano la possibilità per tali soggetti di agire sulle informazioni critiche aziendali, attività tutte che ricadono nella definizione di "trattamento di dati personali", anche quando l'amministratore non consulti in chiaro tali informazioni;
3 - Le funzioni tipiche dell'amministrazione di un sistema sono specificatamente richiamate all'interno dell'allegato B del Codice Privacy, laddove si prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Si è voluto, quindi, assicurare un maggiore controllo su chi di fatto si occupa dell'assolvimento degli adempimenti previsti nello stesso allegato B, ovvero adempimenti che in genere sono affidati all'amministratore di sistema: realizzazione di copie di sicurezza, custodia delle credenziali, gestione dei sistemi di autenticazione e di autorizzazione, etc.;
4 -Infine, vi sono alcuni reati previsti dal codice penale per i quali il rivestire la funzione di amministratore di sistema costituisce una circostanza aggravante (abuso della qualità di operatore di sistema nell'accesso abusivo a sistema informatico o telematico - art. 615 ter c.p. - o di frode informatica - art. 640 ter c.p. -, oppure per le fattispecie di danneggiamento di informazioni, dati e programmi informatici - artt. 635bis e ter c.p. - e di danneggiamento di sistemi informatici e telematici - artt. 635-quater e quinques).
Con tale provvedimento il Garante ha, così, lanciato un ulteriore monito a tutti i titolari del trattamento, invitando ad affidare tale incarico, sia in qualità di responsabile sia di incaricato, a soggetti che siano affidabili, prima di tutto, oltre che capaci ed esperti, poiché devono fornire idonea garanzia del pieno rispetto delle disposizioni in materia di corretto trattamento, compreso il profilo relativo alla sicurezza informatica (in considerazione anche delle responsabilità, di natura penale e civile, che possono derivare in caso di incauta o inidonea designazione).
Infatti, il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che "per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice). Si dovrà procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
Tutto questo dovrà essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già in essere o che iniziano entro il 22.01.09, mentre, per i trattamenti successivi, sarà obbligatorio sin da subito.
Per quest'ultimi, infatti, sono state previste nuove cautele da rispettare nella scelta e nomina degli amministratori di sistema. L'individuazione precisa e responsabile di tali soggetti, infatti, riveste una notevole importanza, perché è una delle scelte fondamentali all'interno di un'azienda e contribuisce a incrementare la complessiva sicurezza dei trattamenti svolti. Basti pensare, infatti, che molto spesso l'amministratore di sistema è dotato di una particolare posizione a cui spetta anche la capacità di stabilire - in raccordo con il titolare e/o eventuali altri responsabili dei relativi trattamenti - chi può accedere in modo privilegiato alle risorse del sistema informativo e a tutti i dati personali aziendali (anche sensibili): per tale motivo gli amministratori di sistema devono essere scelti con particolare attenzione, poiché i rischi che possono correre le banche dati o le reti informatiche sono sempre più elevati.
Dopo le recenti e numerose modifiche normative o "di prassi" a cui abbiamo assistito negli ultimi tempi, ecco che viene pubblicato un ulteriore provvedimento del Garante Privacy che introduce un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici e di garanzia della sicurezza degli stessi dati e sistemi.
Il Garante Privacy, infatti, con un provvedimento del 27 novembre 2008 ("Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"), ha introdotto l'obbligo per gli amministratori di sistema (compresi coloro che svolgono la mansione di amministratore di rete, di data base o i manutentori), di conservare gli "access log" per almeno sei mesi in archivi immodificabili e inalterabili.
Devono, cioè, essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e, novità forse più importante, gli access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi). Come non pensare a processi di conservazione digitale in linea con regole tecniche previste dall'art. 71 del Codice dell'amministrazione digitale e oggi contenute nella deliberazione CNIPA n. 11/2004 e nel DPCM 13 gennaio 2004?
I titolari dovranno altresì favorire una più agevole conoscenza, nell'ambito della propria organizzazione, dell'esistenza di eventuali amministratori di sistema: è importante garantire, in questo modo, la conoscibilità dell'esistenza di tali figure e di chi svolge ruoli analoghi all'interno di tutti gli enti e le organizzazioni; viene precisato, inoltre, che gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del DPS e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
A parere di chi scrive, quindi, per evitare spiacevoli sanzioni, ogni titolare dovrà verificare che tale elencazione sia stata effettuata nell'ambito del prossimo aggiornamento annuale del DPS e, nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.
Se poi l'attività degli amministratori di sistema riguarda, anche indirettamente, servizi o sistemi che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati, in qualità di datori di lavoro, sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema all'interno delle proprie organizzazioni attraverso apposita informativa ex art. 13 d.lgs. 196/2003 (in alternativa si possono utilizzare anche strumenti di comunicazione interna quali l'intranet aziendale, ordini di servizio a circolazione interna etc.). Sono fatti salvi, in ogni caso, i casi di esclusione per legge di tale forma di pubblicità o conoscibilità.
Nel caso, poi, di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà l'obbligo conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull'operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o per i professionisti che trattano dati personali per le sole finalità amministrative e contabili.
Proviamo ora ad esaminare i motivi per i quali il Garante ha ritenuto necessario introdurre tale ulteriore adempimento:
1 - In primo luogo, gli amministratori di sistema, o coloro che gestiscono l'accesso a banche dati, sono generalmente preposti a operazioni da cui discendono grandi responsabilità ed elevate criticità rispetto alla protezione dei dati personali a cui hanno accesso. Ricordiamo, infatti, che per sua natura l'amministratore di sistema è dotato di una capacità di azione propria e di un rapporto fiduciario che lo lega al titolare nello svolgimento delle relative mansioni (ruolo così importante per le aziende e per le grandi organizzazioni pubbliche e private, tanto da farlo nominare a volte anche quale responsabile del trattamento). Ma anche nelle piccole realtà tale figura riveste una certa importanza, perché dovrebbe essere preposto a compiti di vigilanza e controllo del corretto utilizzo del sistema informatico gestito e utilizzato;
2 - In secondo luogo, le attività di backup o disaster recovery (regolamentate anche nel Codice Privacy), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione o la semplice manutenzione hardware comportano la possibilità per tali soggetti di agire sulle informazioni critiche aziendali, attività tutte che ricadono nella definizione di "trattamento di dati personali", anche quando l'amministratore non consulti in chiaro tali informazioni;
3 - Le funzioni tipiche dell'amministrazione di un sistema sono specificatamente richiamate all'interno dell'allegato B del Codice Privacy, laddove si prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Si è voluto, quindi, assicurare un maggiore controllo su chi di fatto si occupa dell'assolvimento degli adempimenti previsti nello stesso allegato B, ovvero adempimenti che in genere sono affidati all'amministratore di sistema: realizzazione di copie di sicurezza, custodia delle credenziali, gestione dei sistemi di autenticazione e di autorizzazione, etc.;
4 -Infine, vi sono alcuni reati previsti dal codice penale per i quali il rivestire la funzione di amministratore di sistema costituisce una circostanza aggravante (abuso della qualità di operatore di sistema nell'accesso abusivo a sistema informatico o telematico - art. 615 ter c.p. - o di frode informatica - art. 640 ter c.p. -, oppure per le fattispecie di danneggiamento di informazioni, dati e programmi informatici - artt. 635bis e ter c.p. - e di danneggiamento di sistemi informatici e telematici - artt. 635-quater e quinques).
Con tale provvedimento il Garante ha, così, lanciato un ulteriore monito a tutti i titolari del trattamento, invitando ad affidare tale incarico, sia in qualità di responsabile sia di incaricato, a soggetti che siano affidabili, prima di tutto, oltre che capaci ed esperti, poiché devono fornire idonea garanzia del pieno rispetto delle disposizioni in materia di corretto trattamento, compreso il profilo relativo alla sicurezza informatica (in considerazione anche delle responsabilità, di natura penale e civile, che possono derivare in caso di incauta o inidonea designazione).
Infatti, il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che "per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice). Si dovrà procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
Tutto questo dovrà essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già in essere o che iniziano entro il 22.01.09, mentre, per i trattamenti successivi, sarà obbligatorio sin da subito.
Commenti
No, soltanto quelli che trattano dati personali con strumenti informatici ed elettronici, anche quando tale trattamento è parziale.
Tuttavia anche i titolari che trattano dati in questo modo sono esclusi se le finalità del trattamento sono soltanto quelle amministrativo-contabili (oggetto dei recenti interventi di semplificazione).
D. Quali figure rientrano nel concetto di amministratore di sistema ?
Quelle in possesso di competenze tali da poter essere incaricate della gestione e manutenzione dei sistemi informatici o delle loro componenti (hardware e software).
Nella stessa definizione rientrano anche le figure equiparate che svolgono una attività di gestione e manutenzione che presenta dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza, di software, ecc...).
D. Come deve comportarsi il titolare prima di nominare uno o più amministratori di sistema ?
Innanzitutto, può sembrare banale, ma è opportuno verificare se la nomina risponde ad una esigenza effettiva.
In secondo luogo occorre valutare l'idoneità a ricoprire l'incarico da parte del soggetto da designare.
I criteri per compiere questa valutazione possono essere diversi, ma il garante richiama espressamente quelli previsti per la nomina del responsabile del trattamento.
Questo vuol dire quindi che l'esperienza, la capacità e l'affidabilità del soggetto da designare devono costituire una garanzia del rispetto delle disposizioni del codice della privacy, compreso l'aspetto attinente la sicurezza dei dati.
Se questa valutazione manca o avviene in modo superficiale si può anche incorrere in una responsabilità per incauta designazione nel caso in cui il soggetto designato non sia poi in grado di garantire, nei limiti delle proprie funzioni, il livello di protezione dei dati che è lecito attendersi.
D. Con quali modalità deve avvenire la nomina ?
E' opportuno che sia documentata e che contenga una indicazione precisa delle funzioni e dei compiti attribuiti all'amministratore (così come avviene per il responsabile del trattamento).
In questo modo si fa chiarezza sull'ambito di esigibilità della prestazione professionale richiesta all'amministratore di sistema.
D. Che cosa si intende per verifica dell'operato degli amministratori ?
Significa che gli amministratori devono rispettare, nello svolgimento delle attività, le misure tecniche, organizzative e di sicurezza previste dalla legge in materia di protezione dei dati personali e che le eventuali violazioni od anomalie nel loro operato devono essere prontamente identificate e sanate dal titolare.
Questo garantisce che il titolare possa considerarsi diligente nell'effettuazione dei controlli e spiega il perchè venga richiesto agli amministratori, all'atto della nomina, di fornire idonea garanzia di rispetto delle disposizioni di legge vigenti.
D. Quando deve essere effettuata la verifica ?
Quando si reputa opportuna, anche in relazione alle dimensioni ed alla complessità dell'organizzazione di riferimento e, comunque, con cadenza almeno annuale.
Soltanto quella che comporta un accesso, inteso come superamento di una procedura di autenticazione informatica, ai sistemi ed agli archivi elettronici.
In assenza di contrarie indicazioni sembra che la registrazione debba comprendere tanto gli eventi positivi (success) che negativi (failure) di accesso.
D. Con quali modalità e garanzie deve essere effettuata la registrazione ?
Le registrazioni (record) devono contenere l'indicazione della data (timestamp) e la descrizione dell'evento che le genera.
Devono inoltre essere complete, non modificabili e consentire la verifica della loro integrità, tenendo conto delle finalità di controllo cui sono preordinate.
A seconda della dimensione e della complessità della infrastruttura IT questa misura può richiedere uno sforzo organizzativo e tecnologico non indifferente, anche dal punto di vista dell'analisi della situazione di partenza.
Le registrazioni vanno conservate per un periodo minimo di 6 mesi.
D. Quanto tempo hanno i titolari per applicare le misure ?
Se i trattamenti sono già iniziati il termine massimo per adempiere è di 120 giorni decorrenti dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale (24/12/2008) stato prorogato al 30 giugno 2009.
Se invece i trattamenti devono ancora iniziare le misure devono essere applicate subito.
E' comunque consigliabile non attendere l'ultimo minuto e pianificare, invece, anche economicamente, l'attuazione delle misure per tempo.
Eppure, nel provvedimento del 27.11.2008, contenente le misure che dovranno essere adottate entro i quattro mesi, con tono quasi informale il Garante così relaziona: “Con la definizione di 'amministratore di sistema' si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti”, e continuando aggiunge che, “pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente 'responsabili' di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati”.
Questo allo scopo di arginare «azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici». A questo proposito il garante ha chiarito che le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente; conseguentemente le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso. Insomma quello che conta è il dato dimensionale e organizzativo (anche se non si stabiliscono espressamente livelli soglia).
Il garante, nel comunicato del 15 dicembre 2009, ha precisato che si può utilizzare software open source a costo zero per il logging degli accessi degli amministratori di sistema. L'adempimento può essere realizzato senza fare ricorso a costosi applicativi
In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 30 mila a 180 mila euro. Sanzioni tra l'altro incrementabili se ricorrono situazioni aggravanti o in caso di non sufficiente deterrenza della sanzione edittale. Peraltro l'adempimento non deve essere realizzato dalle piccole e medie imprese, se trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile. Rientrano in quest'ultima categoria, e si è perciò esonerati dall'obbligo di nominare l'amministratore di sistema, i trattamenti necessari per la gestione di ordinativi, le buste paga e l'ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing e dipendenti.
L'obbligo di registrazione degli accessi logici riguarda i sistemi client «postazioni di lavoro informatizzate». La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso). Non è richiesto in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Nei casi più semplici la registrazione può essere soddisfatta tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità. Il titolare, tuttavia, deve valutare se adottare strumenti più sofisticati (raccolta dei log centralizzata, dispositivi non riscrivibili, tecniche crittografiche per la verifica dell'integrità delle registrazioni).
I più diffusi sistemi operativi garantiscono anche la inalterabilità delle registrazioni. Il requisito, chiarisce il garante, può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e «certificati». Il garante, poi, si spinge a dire che il provvedimento non si preoccupa della effettiva genuina generazione dei dati registrati: il provvedimento si limita a prevedere come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli «accessi» (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento. Non c'è, dice la risposta del garante senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi. Inoltre l'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del garante, sottoporlo a registrazione. Per la nomina dell'amministratore di sistema è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.