In data 14 Gennaio il Garante della Privacy ha ripreso e discusso sul suo sito istituzionale un provvedimento dello scorso novembre 2008 relativo alle attribuzioni delle funzioni di amministratore di sistema. Vediamo più nel dettaglio cosa comporta questo provvedimento in termini operativi nella gestione della protezione dei dati personali. |
Di fatto, il provvedimento va a coprire un aspetto rimasto fino ad ora scoperto dal D.Lgs. 196/2003: nel Codice della Privacy, infatti, erano previste le nomine di responsabili e incaricati del trattamento, ma non era mai stata presa in considerazione la carica di amministratore di sistema. Una mancanza importante, se si pensa che ogni sistema informatico deve essere necessariamente amministrato da persone con una competenza specifica e con la possibilità di accedere a qualsiasi banca dati per motivi manutentivi.
Nel provvedimento del 27 novembre 2008 si affronta l’argomento, introducendo a livello normativo e organizzativo una serie di adempimenti:
a) Valutazione delle caratteristiche soggettive: in sostanza, si devono nominare amministratori di sistema persone con adeguata esperienza, capacità e affidabilità.
b) Designazioni individuali: la nomina deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Questo è un concetto molto importante, perchè oltre alla nomina dei responsabili e degli incaricati adesso occorrerà nominare anche gli amministratori, tramite una lettera di incarico in cui si dovranno indicare anche le rispettive mansioni e gli ambiti di intervento.
c) Elenco degli amministratori di sistema: gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza. Questo è una novità rispetto alle nomine precedenti di incaricati e responsabili, che non dovevano essere inserite nel DPS. A questo proposito, si consiglia di riportate questo elenco in uno degli allegati al DPS, per motivi di protezione dei dati personali degli amministratori stessi. Inoltre, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.
d) Servizi in outsourcing: nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. Anche in questo frangente l’adempimento è più rilevante che in passato, visto che per nel caso di responsabili di trattamenti in outsourcing il titolare era tenuto alla semplice nomina del responsabile esterno, senza ricevere informazioni sugli incaricati da esso designati. In pratica, non si trattavano nominativi di appartenenti a società esterne, mentre ora devono essere ben registrati.
e) Verifica delle attività: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
f) Registrazione degli accessi: devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Questo è un adempimento piuttosto complesso da rispettare, poichè è richiesto il tracciamento degli accessi degli amministratori al sistema informatico in termini di riferimenti temporali. Ma se la cosa è fattibile per quanto riguarda i sistemi operativi (es accesso ai sistemi windows), non è detto che gli applicativi specifici (es ragioneria, paghe, ecc) siano in grado di tracciare tali log. Inoltre, la cosa diventa ulteriormente complessa nei casi in cui gli archivi vengano gestiti con strumenti di office automation: se ad esempio un archivio è gestito con un foglio excel, registrare tutti gli accessi diventa nel complesso di difficile gestione.
La risposta del Garante alle precedenti carenze normative è decisamente adeguata, ma dal punto di vista tecnologico gli adempimenti previsti sono difficilmente realizzabili.
In ogni caso, le cose più importanti da tenere a mente sono:
1) nominare gli amministratori di sistema, siano essi interni o esterni. E’ meglio accompagnare la nomina con un documento in cui si inquadrino responsabilità e ambiti di azione;
2) riportare l’elenco degli amministratori di sistema nel DPS;
3) notificare l’elenco degli amministratori di sistema ai dipendenti tramite informativa (si può fare in diversi modi, dalla notifica al momento della nomina come incaricati del trattamento ad una schermata informativa in fase di login al sistema, oppure con una circolare in bacheca o una mail rivolta a tutti);
4) verificare periodicamente l’operato degli amministratori di sistema e i nominativi previsti (questo si può anche fare annualmente, in fase di revisione del DPS)
5) attuare la registrazione temporale degli accessi al sistema da parte degli amministratori. Questo è comunque un argomento che va studiato caso per caso.