Il Garante ha pubblicato sul suo sito delle FAQ come prima risposta ai quesiti posti dagli utenti, che dipanano sicuramente alcuni dei dubbi legati al provvedimento relativo. Ma non tutti… |
Anzitutto è importante evidenziare gli elementi che vengono chiariti nelle FAQ, che vengono brevemente commentati di seguito:
1 ) le registrazioni degli accessi degli amministratori vanno effettuate nei casi in cui i sistemi in questione trattano, anche se indirettamente, dati personali. Vale quindi anche per accessi a un file server in cui gli utenti salvano dei documenti prodotti con strumenti di office automation che racchiudono dati personali [FAQ n. 11]
2 ) per access log si intendono i log di accesso ai sistemi operativi, senza dover approfondire dettagli ulteriori di operazioni svolte dagli AdS. Questo significa che, chi gestisce domini Microsoft, può limitarsi al controllo degli “Eventi di Protezione” nell’Event Viewer, che coprono abbondatemente le necessità espresse dalla normativa [FAQ n. 8]. Si deve prevedere la registrazione degli accessi logici ai client [FAQ n. 4], ma di fatto la login al dominio consente di centralizzare sui server le tracce dell’accesso.
3 ) il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema [FAQ n. 15].
4 ) l’accesso a livello applicativo ai programmi NON deve essere sottoposto a registrazione. Questa è una precisazione importante, perchè limita la registrazione degli accessi ai sistemi operativi ma non ai programmi. La logica è che l’accesso ad una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati [FAQ n. 22]. Invece, in caso di accesso diretto con autenticazione a database (es tramite client di Oracle, MS SQL server, MYSQL, ecc) l’evento va registrato [FAQ n. 19]
5 ) l’inalterabilità dei log può essere garantita tramite apposito software oppure, nei casi più semplici, tramite salvataggio periodico dei log esportati su sistemi non riscrivibili. Si dice che il requisito è ragionevolmente soddisfatto, infatti anche se non è impossibile alterare i log (e salvarli su un altro supporto non riscrivibile modificando l’orologio di sistema del PC con cui si effettua la masterizzazione), il salvataggio viene reputato ragionevolmente sicuro [FAQ n. 12]. Questo approccio è ritenuto in generale adeguato, tuttavia il titolare potrebbe ritenere necessario attuare altri provvedimenti più “robusti” per garantire l’integrità del dato [FAQ n. 13], tenendo conto dell’ambiente tecnologico e organizzativo [FAQ n. 14]: in pratica, è lasciata alla discrezione del titolare l’adozione di misure più composite, qualora il contesto organizzativo e la criticità dei dati lo rendano, a suo parere, necessario;
6 ) oltre alla designazione nominativa, prevista per tutti gli AdS, è necessario rendere conoscibili all’interno della propria organizzazione le identità di tutti gli AdS che possano trattare dati relativi al personale aziendale, attraverso pubblicazione su intranet, bacheche, bollettini interni, ecc [FAQ n. 2]
7 ) Non rientrano nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software [FAQ n. 1]. C’è da chiedersi se i dipendenti di aziende esterne che hanno contratti di manutenzione continuativa, sia di carattere sistemistico che di carattere applicativo (che possono accedere direttamente alle banche dati) rientrino nella categoria di soggetti che intervengono occasionalemente o si individua una continuità amministrativa;
8 ) secondo il comma 2 lett. a della parte dispositiva del provvedimento, la scelta degli AdS deve ricadere su profili competenti, esperti, capaci e affidabili. Nelle FAQ però si specifica che nella designazione non è necessario tenere conto dei requisiti morali, pertanto pur occorrendo qualità tecniche, professionali e di condotta gli AdS possono essere brutti, sporchi e cattivi [FAQ n.20]
Per vedere tutte le FAQ pubblicate dal Garante basta cliccare qui.
Rimangono ancora dei punti su cui occorrerebbe fare una riflessione più approfondita:
1 ) mai prima di adesso erano stati inseriti dei nominativi all’interno del DPS. Il Garante ha spesso consigliato di non riportare i nominativi di incaricati e responsabili all’interno del DPS, per non appesantire il documento e non doverlo modificare ogni volta che cambia un soggetto. Questa nuova scelta non aiuta la “manutenzione” del documento;
2 ) nelle FAQ viene evidenziata la differenza fra gli AdS e gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, indicando gli AdS come “particolari operatori di sistema, dotati di specifici privilegi”. La distinzione è doverosa, però si potrebbe cogliere l’occasione per avviare un processo di omologazione terminologica;
3 ) rimane la grande complessità di tracciare i nominativi di tutti gli AdS, soprattutto nel caso in cui vi siano aziende esterne che intervengono da remoto con continuità sui sistemi aziendali: in tal caso come è possibile tenere monitorati tutti i loro dipendenti, considerando le mobilità professionali? E’ necessario tenere conto non solo di chi fa interventi sistemistici, ma anche di società fornitrici di applicativi che possono intervenire direttamente sulla banca dati per motivi di carattere manutentivo (non occasionale).
Chi volesse inoltrare le proprie questioni al Garante può farlo scrivendo a ads@garanteprivacy.it fino al 31 maggio, data di scadenza della consultazione pubblica.