1/07/2009

COMPLIANCE – PRIVACY – AMMINISTRATORI DI SISTEMA

Perinformazioni rivolgersi a: d.ssa Sandra Campioli (scampioli@consulentiassociati.com)

Reggio Emilia, 14 Luglio 2009

Il Garante per la protezione dei dati personali ha stabilito, a mezzo di Provvedimento a carattere generale del 27 novembre 2008 (“Misure ed accorgimenti prescritti ai titolari del trattamento effettuati  cin strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”) che, entro 15 dicembre 2009, tutte le aziende – private e pubbliche – dopo aver individuato i sistemi (dispositivi di rete, database, apparati di sicurezza e sistemi software complessi) che contengono i dati più critici ed averne nominato gli amministratori di sistema (ADS), dovranno dotarsi di un sistema di Log Management in grado di tracciare gli accessi degli ADS ai dispositivi ed alle applicazioni che gestiscono. Questo sistema dovrà conservare i dati in maniera sicura per un periodo minimo di sei mesi e dovrà essere consultabile dal Titolare e dalle autorità.

I destinatari del Provvedimento

Tutti i Titolari dei trattamenti di dati personali, privati e pubblici, effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008).

Chi sono gli Amministratori di Sistema

Tale figura, anche se non esplicitamente indicata nel “Codice in materia di protezione dei dati personali” era prevista, viceversa, dal D.P.R. 318/1999 (abrogato dal Codice stesso) che definisce l’amministratore di sistema il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione” (art. 1, comma 1, lett. c).

Nel provvedimento del 27 novembre 2008 il Garante dice che con “amministratore di sistema” si individuano figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti e che sono considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi e ciò anche quando l’amministratore non consulti “in chiaro” le informazioni relative ai trattamenti di dati personali.

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (es. per scopi di manutenzioni a seguito di guasto o malfunzionamento) sui sistemi di elaborazione e sui sistemi software.

Valutare le capacità dell’Amministratore di Sistema

Il titolare, prima di procedere alla nomina, deve valutare l’esperienza, la capacità e l’affidabilità dei soggetti designati quali “amministratore di sistema” che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

È ovvio che si parte dal presupposto che chi di fatto svolge già oggi la funzione di ADS sia in grado si svolgere la propria funzione; è opportuno allora predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti e tutto ciò che sia idoneo a certificare l’esperienza effettiva del soggetto, attenendosi in ogni caso ai principi di pertinenza e non eccedenza dettati dal Codice Privacy.

Il CV deve essere datato e firmato sia dall’amministratore che dal titolare. L’indicazione dei percorsi formativi svolti, specie per gli ambiti non prettamente tecnologici ma relativi invece alle problematiche della privacy e della protezione dei dati personali, assume un valore particolarmente importante per il “rispetto della garanzia delle vigenti disposizioni”. L’amministratore di sistema non può essere solo un bravo tecnico, ma deve conoscere la normativa sulla privacy.

Designazione dell’Amministratore di Sistema

La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato; sia che si tratti di ADS interno alla società sia che si usufruisca di una consulenza esterna (outsourcing).

Occorrerà quindi predisporre una serie di adempimenti aventi le seguenti caratteristiche:

  1. attestazione delle caratteristiche richieste dalla legge che giustifichino la scelta dell’ADS;

  2. gli estremi identificativi delle persone fisiche formalmente nominate ADS. Si tratta del minimo insieme di dati identificativi utili ad individuare il soggetto nell’ambito dell’organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza. Nel caso di servizi di ADS affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;

  3. elencazione analitica delle funzioni attribuite all’ADS con gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti analogamente a quanto previsto al comma 4 dell’art. 29 del Codice Privacy riguardante i Responsabili del trattamento. Non sarà comunque necessario indicare i singoli sistemi e le singole operazioni affidate, ma sarà sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di dettagliarlo rispetto ai singoli sistemi, a meno che non sia ritenuto necessario in casi specifici;

  4. il titolare è tenuto, inoltre, ad instaurare un regime di conoscibilità dell’identità degli ADS, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un ADS, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti. Ciò dovrà avvenire avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento delGarante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore;

  5. dovranno essere predisposti sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli ADS. Le registrazioni (access log) dovranno avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.  Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un ADS o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software. Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo “username” utilizzato, alla data e all’ora dell’evento (timestamp), una descrizione dell’evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato). La registrazione dei log degli accessi (login) dovrà essere mantenuta per almeno 6 mesi. L’accesso applicativo non rientra nel perimetro degli adeguamenti e perciò non è necessario sottoporlo a registrazione;

  6. l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;

  7. gli estremi identificativi delle persone fisiche ADS, con l’elenco delle funzioni ad essi attribuite (con le modalità sopra elencate), devono essere riportate in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

 RIEPILOGO ADEMPIMENTI

Destinatari

Titolari di trattamenti, privati e pubblici, effettuati con strumenti elettronici esclusi quelli effettuati in ambito pubblico e privato ai fini amministrativo contabili.

Valutazione dell’ADS

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

Designazione dell’ADS

La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Tali informazioni devono essere riportate in un  documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

ADS Esterni

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Registrazione degli accessi dell’ADS

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo dmarialaurabenevellie. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Regime di conoscibilità degli ADS

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni.

Verifica delle Attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Tempo di adozione delle misure

15 dicembre 2009 (salvo ulteriori proroghe)