Con il provvedimento del 25 Giugno, il Garante della Privacy (oltre a prorogare al 15 Dicembre il termine di adozione degli adempimenti relativi agli Amministratori di Sistema) ha modificato alcuni punti del vecchio provvedimento che racchiudevano alcune criticità, come analizzato in questo precedente articolo.
Nel provvedimento del 25 Giugno il Garante ha imposto la modifica dei punti 4.3 e 4.4 del Provvedimento originale i quali, modificati, recitano così (le parti novellate sono state sottolineate):
(Punto 4.3 – Terzo capoverso) “Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema”.
(Punto 4.4 – Primo capoverso) “L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti”.
Le intenzioni sono chiare ed affrontano un problema pratico: in caso di servizi di amministrazione di sistema affidati in outsourcing, come può il titolare verificare se i dipendenti della ditta esterna sono sempre gli stessi oppure cambiano?
Ecco allora che scatta il meccanismo di delega: il tal caso il responsabile del trattamento (in outsourcing) deve conservare gli estremi identificativi degli amministratori di sistema.
Quindi dal punto di vista organizzativo funziona nel seguente modo: il titolare nomina la ditta esterna responsabile del trattamento in outsourcing per quanto riguarda la gestione dei servizi di amministratore di sistema. A sua volta, la ditta nominata dovrà tenere l’elenco dei nominativi di coloro che svolgeranno le mansioni operative di amministratori di sistema. In caso di controlli presso il titolare, questi dovrà fornire l’elenco degli amministratori di sistema interni (se ve ne sono) e reperire l’elenco degli amministratori di sistema esterni presso le ditte a cui ha delegato tali servizi in outsourcing. Il titolare deve preoccuparsi di inserire nel contratto di gestione in outsourcing l’obbligo da parte del responsabile esterno di tenere una lista aggiornata degli amministratori di sistema.
Questo meccanismo presenta delle analogie con l’attuale nomina dei responsabili in outsourcing che a loro volta nominano i propri incaricati del trattamento, deputati alle mansioni operative che comportano il trattamento dei dati in outsourcing. In effetti, l’amministratore di sistema è un manutentore di sistemi informatici che, nelle sue mansioni operative di manutenzione, può in qualche modo interagire con dei dati personali.
Oltre a quanto sopra approfondito, si segnala l’altra grande modifica apportata al provvedimento originale:
(Punto 4.3 – Primo capoverso) “Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante”.
E’ scomparso l’obbligo di riportare l’elenco degli AdS nel Documento Programmatico sulla Sicurezza: questo semplifica la “manutenzione” di questo elenco, poichè in caso di cambiamenti operativi non è necessario rivedere il DPS e risottoporlo all’approvazione da parte degli organi competenti.
Per altre questioni riguardanti la protezione dei dati personali è possibile consultare il nostro focus sull’argomento o scrivere a formazione@blog.sinetinformatica.it