Privacy, modifiche normativa e Responsabilità dell’Amministratore di Sistema

Entro il 15 dicembre 2009 le imprese e altri soggetti interessati devono adeguarsi alle prescrizioni in materia di amministratori di sistema.

Il provvedimento del Garante del 27/11/08, pubblicato in Gazzetta Ufficiale n. 287 del 9/12/08 e in Gazzetta Ufficiale n. 300 del 24/12/08, ha introdotto importanti novità in materia di Privacy:

  •  sono state introdotte alcune modifiche attinenti la corretta attuazione delle misure minime di sicurezza, in particolare sono stati inseriti una serie di elementi semplificativi nell’adozione delle stesse contenute nel disciplinare tecnico. Tuttavia non tutti i soggetti interessati vengono coinvolti da questa modifica e la loro non corretta applicazione può comportare pesanti sanzioni amministrative.
  • il Garante per la protezione dei dati, individua e responsabilizza la figura dell’Amministratore di Sistema, rivisitando ed ampliando le funzioni e le responsabilità a lui direttamente collegate. Gli Amministratori di Sistema, di Rete e di Banca Dati, sono le figure professionali che pur non essendo predisposti ordinariamente ad operazioni che si sostanziano in veri e propri trattamenti di dati, per natura della loro attività ricoprono concretamente responsabilità che possono comportare elevate criticità rispetto alla protezione dei dati.
  • il Garante per la protezione dei dati ha introdotto una nuova logica sanzionatoria rendendo più flessibili e modulari le sanzioni previste dalla attuale normativa, prevedendo sconti nei casi di minore gravità e pesanti inasprimenti nei casi di maggiore entità.

Le modifiche della normativa ha introdotto per la prima volta la necessità di memorizzare, in archivi inalterabili i log degli accessi ai sistemi ed agli archivi elettronici, da parte degli Amministratori di Sistema.

In breve la normativa dispone:

  • Individuazione dei sistemi contenenti, o attraverso i quali passano, dati personali, in particolar modo sensibili e/o giudiziari (server gestionali, data base, macchine contenenti dati, dispositivi di rete, apparati di sicurezza, software complessi…).
  • Individuare il personale interno e/o esterno, avente competenze tecniche reali, preposto a qualsiasi titolo a presiedere e/o mantenere tali sistemi/apparati/software.
  • Responsabilizzare gli interni ed incaricare specificatamente le Aziende Esterne.
  • Predisporre una valutazione annuale dell’operato degli Amministratori di Sistema;
  • Dotarsi di un sistema organizzativo e/o tecnico in grado di tracciare gli accessi ai dispositivi ed alle applicazioni gestite dagli amministratori.
  • Conservare ed archiviare i dati raccolti, al punto precedente, in modo che non siano modificabili.
  • Conservarli per almeno 6 mesi e renderli disponibili per eventuali verifiche e controlli da parte della Autorità preposte al controllo.

Ipsoa, dicembre 2009