3/02/2009

PRIVACY – REGISTRAZIONE VOCI E AMMINISTRATORI DI SISTEMI

D. Lgs. 196/03 – Trattamento dati personali

Regitrazioni voci

L’attività di registrazione delle voci in un locale commerciale è da ritenersi illecita in quanto non conforme al principio di finalità, secondo cui il trattamento deve essere effettuato per determinati obiettivi, espliciti e legittimi. Finalità che non risultano ricorrere nel caso esaminato dal Garante nel provvedimento in oggetto; nella fattispecie la violazione è stata riscontrata in merito alla installazione, all’interno del locale, di un apparecchio di videosorveglianza, per altro non segnalato da cartelli o comunicazioni visibili, dotato del dispositivo di registrazione sonora.

La verifica dell’impianto in questione, avviata a seguito di numerose segnalazioni da parte dei clienti, ha fatto scattare immediatamente l’ordine di rimozione del mezzo e la cancellazione dei dati sensibili registrati (suoni e voci) raccolti fino a quel momento. Il Garante ha inoltre prescritto al titolare del negozio di designare quale responsabile del trattamento e unica persona autorizzata ad accedere alle immagini registrate, il soggetto che ha la manutenzione dell’impianto, disponendo fino ad allora il blocco della comunicazione delle immagini.

Amministratori di sistema: occorre massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola

Gli “amministratori di sistema” sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione. Per questo il Garante ha deciso di richiamare l’attenzione di enti, amministrazioni, società private sulla figura professionale dell’amministratore di sistema e ha prescritto l’adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.

Le misure e le cautele dovranno essere messe in atto entro quattro mesi da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.

Registrazione degli accessi: adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Verifica della attività: Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

Elenco degli amministratori di sistema e loro caratteristiche

Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.

Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

 

Per ulteriori informazioni contattare: Alessandro Faletti