Privacy: proroga per le norme dedicate agli amministratori di sistema

Quando si parla di Privacy il termine proroga suona familiare. Questa volta è toccato alle nuove norme dedicate alla regolamentazione della figura dell'amministratore di sistema, per il cui adeguamento la scadenza era fissata alla fine di Aprile e che è stata invece prorogata al 30 Giugno.

Partiamo dal principio: il 27 Novembre 2008 il Garante ha emanato un provvedimento orientato a regolamentare tale figura dal punto di vista della privacy, trattandosi di un soggetto che generalmente, pur non essendo direttamente coinvolto nel trattamento dei dati, lo è nella gestione di tutti i sistemi informatici mediante i quali si esplica il trattamento. In sintesi, il provvedimento richiede al titolare del trattamento dei dati:

• Attenta valutazione e selezione dei soggetti che verranno incaricati della gestione dei sistemi informativi, in base a caratteristiche di esperienza, capacità e affidabilità, al fine di garantire adeguatamente il rispetto della normativa attuale;
• Designazione individuale degli amministratori di sistema e dei loro profili operativi;
• Indicazione nel DPS di tutte le persone fisiche aventi il ruolo di amministratori di sistema e delle rispettive mansioni o, laddove il titolare non fosse tenuto a redigerlo, in un documento a uso interno che resti a disposizione del Garante in caso di verifica. Questi soggetti devono essere resi noti anche ai lavoratori, in caso di potenziale trattamento di loro dati personali, mediante informativa o altri strumenti di comunicazione aziendale interna;
• In caso di affidamento in outsourcing dei servizi, conservazione degli estremi identificativi delle persone fisiche preposte allo svolgimento delle attività di amministrazione di sistema;
• Verifica annuale dell'operato degli amministratori di sistema;
• Predisposizione di un sistema di registrazione degli accessi logici effettuati dagli amministratori dei sistemi informatici, con riferimento temporale e descrizione dell'evento che li ha generati. Tali informazioni devono essere conservate per un intervallo di tempo minimo pari a 6 mesi

Il motivo della proroga sono le molteplici richieste di chiarimento riguardo l'esatta interpretazione delle suddette norme, con particolare riferimento all'individuazione corretta della figura di amministratore di sistema. Il Garante lo definisce come "figura professionale finalizzata alla gestione e manutenzione di un impianto di elaborazione o di sue componenti". Sono diverse le figure professionali cui calzerebbe questa definizione, come per esempio l'amministratore di rete, l'amministratore di un applicativo o di un database. E' pertanto fondamentale che le aziende, per potersi adeguare correttamente, possano individuare con chiarezza chi realmente sia identificabile come amministratore di sistema secondo il Garante.