Con Provvedimento del 25 giugno 2009 recante “Prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento” è stato prorogato il termine di attuazione delle disposizioni e sono state apportate delle modifiche al Provvedimento del 27 novembre 2008.

La scadenza è stata fissata al 15 dicembre.

A Chi si rivolge il Provvedimento

Il Provvedimento è rivolto a tutte quelle realtà  aziendali che effettuano trattamenti di dati personali con strumenti elettronici.

Da una prima interpretazione del Provvedimento sembrava di poter escludere tutte quelle attività  che in ambito pubblico e privato trattavano dati per i soli fini amministrativi-contabili; in seguito alla consultazione pubblica indetta dal Garante della Privacy su tale argomento, lo stesso si è pronunciato specificando che l’esclusione è da ricondursi ai soggetti rientranti nelle semplificazioni di cui al Provvedimento – 27 novembre 2008- ovvero quei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all’adesione a organizzazioni sindacali o a carattere sindacale.

Dovranno pertanto considerarsi obbligati al rispetto di tali prescrizioni tutti coloro che trattano dati personali e che si avvalgono di un amministratore di sistema, quali aziende e studi professionali.
Che cosa prevede il Provvedimento

Il Provvedimento prevede la nomina dell’Amministratore di Sistema ed alcuni adempimenti ad esso collegati.

Chi è l’ Amministratore di Sistema
si individuano generalmente, in ambito informatico, figure professionali finalizzate alla:

• gestione, condivisioni e permessi di basi di dati(data base)
• gestione e manutenzione di un impianto di elaborazione o di sue componenti: (assemblaggio,installazione, disinstallazione, configurazione,etc.)
• gestione delle reti
• gestioni di apparati di sicurezza (Router, Firewall, Proxy)
• gestione di sistemi software complessi

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzionamenti) sui sistemi di elaborazione e sui sistemi software (per i quali sarà  sufficiente nominarli temporaneamente per l’intervento eseguito).

Adempimenti previsti e modalità 

1. Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità  e affidabilità  del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

2. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività  consentiti in base al profilo di autorizzazione assegnato. L’accesso sarà  strettamente personale per ogni amministratore di sistema.

3. Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel Registro degli Amministratori di Sistema da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

4. Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare e/o il responsabile deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

5. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità  e possibilità  di verifica della loro integrità  adeguate al raggiungimento dello scopo per cui sono richieste e conservate per un congruo periodo, non inferiore a sei mesi.

Con tale misura si vuole effettuare una registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.

In Pratica:
L’inalterabilità  e l’integrità  delle registrazioni dei file log, è garantita con l’impiego di specifici software dedicati a tale gestione; possibile, con l’ esportazione manuale periodica dei dati di log generati dal sistema operativo su supporti di memorizzazione non riscrivibili, operazione questa di non immediata esecuzione.

6. Verifica delle attività 
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività  di verifica da parte del titolare o del responsabile del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

SANZIONI
La mancata applicazione del Provvedimento in esame rientra nella applicazione degli articoli del “Codice in materia di Privacy”:

– 162-2 bis  violazione di adempimenti sulle misure minime di sicurezza (art. 33) e violazione della normativa in tema corretto trattamento dei dati (trattamento illecito art 167), da 20.000 a 120.000 euro

– 162- 2 ter Inosservanza di provvedimenti del Garante da 30.000 a 180.000 euro,

– 169: Omessa adozione di misure necessarie alla sicurezza dei dati

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro.

2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità  o per l’oggettiva difficoltà  dell’adempimento e comunque non superiore a sei mesi.

Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.