Ecco perché arriverà il rinvio del provvedimento del Garante della Privacy sugli amministratori di sistema

Facebook
Twitter
LinkedIn
Allo stato attuale delle cose, il 30 Giugno è il termine ultimo entro il quale dovranno essere adottate le misure previste dal provvedimento del Garante del 27 Novembre 2008 sugli Amministratori di Sistema. Ecco i motivi per cui la data del 30 Giugno verrà prorogata.


Tanti sono gli aspetti che spingono ad attendersi la proroga:

Tecnologia. Le FAQ sull’argomento hanno di fatto dipanato molti dubbi (ma non tutti…) su come garantire la tracciabilità degli accessi degli amministratori di sistema, tuttavia occorre implementare una procedura in grado di assicurare quanto richiesto. Inoltre, potrebbe essere utile acquistare degli strumenti software in grado di centralizzare i log di sistema (sul mercato ci sono dei prodotti interessanti a 350-400 euro). Tutti questi accorgimenti richiedono tempo per essere adeguatamente tarati.

Realismo ed esperienza. L’obbligo di redazione del DPS è entrato in vigore il 31/03/2006, dopo 4 proroghe (30/06/2004, 31/12/2004, 30/06/2005, 31/12/2005). Le esperienze passate portano ad aspettarsi una (più che motivata) proroga. Per questo motivo, di fatto quasi nessuno ha cominciato ad affrontare il problema.

Chiarezza. In data 21 Aprile il Garante ha avviato una consultazione pubblica (pubblicata in G.U. l’8 maggio 2009) per acquisire osservazioni e commenti da parte dei titolari del trattamento, con scadenza ultima fissata il 31 Maggio 2009. E’ difficile pensare che si sia trovata una risposta adeguata a tutti i quesiti sollevati (alcuni, i più evidenti, sono stati approfonditi anche in questo nostro articolo). In data 21 Maggio (quindi prima della scadenza della consultazione) il Garante ha pubblicato delle FAQ sull’argomento, ma di fatto non sono esaustive su tutti i punti oscuri del provvedimento (per una breve analisi delle FAQ è possibile leggere questo articolo). Prima di procedere al rispetto delle misure occorrono sicuramente altri chiarimenti.

Organizzazione. Fra le misure previste nella parte dispositiva del provvedimento, al punto c) è indicato che “Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza”. Questo significa che tutti dovrebbero modificare il proprio DPS: la cosa non è immediata, oltre al fatto che andrebbe adeguatamente ufficializzata (es. nei Comuni le modifiche al DPS di solito vengono approvate con Delibera di Giunta). Non ci sono i tempi tecnici.

Buon senso. In questi anni, il Garante ha affrontato problemi spinosi legati alla protezione dei dati personali causati dalle frenetiche innovazioni tecnologiche e sociali. Il suo approccio, in questi ambiti complessi e difficilmente circoscrivibili, è sempre stato mirato a individuare soluzioni pragmatiche che consentissero di tutelare la privacy dei soggetti senza ingessare i processi organizzativi dei titolari. Il buon senso è sempre stato il filo conduttore degli interventi del Garante: onestamente, è necessario identificare e circoscrivere le attività degli Amministratori di Sistema, ruolo fondamentale fino ad oggi trascurato dalla normativa.  Lo stato dell’arte spinge comunque ad ulteriori approfondimenti sull’argomento.

Per tutti i motivi esposti ci si aspetta una proroga sull’adozione delle misure richieste dal provvedimento. Il buon senso spinge a pensare al 31 Marzo prossimo, prossima scadenza della revisione del DPS, ma potrebbero anche cambiare le modalità di registrazione dei nominativi degli Amministratori, il che potrebbe “disallineare” le scadenze della revisione del DPS con quelle di attuazione del provvedimento.

Per altre questioni riguardanti la protezione dei dati personali è possibile consultare il nostro focus sull’argomento o scrivere a

formazione@blog.sinetinformatica.it