14 Dicembre 2009
Amministratori di sistema: precisazioni del Garante o… marcia indietro?
Siamo alle solite. In vista della scadenza del 15 dicembre, termine entro il quale i titolari del trattamento di dati personali devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema dal Garante per la protezione dei dati personali, l’Autorità ha ritenuto opportuno “precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende”.
Perciò, in un comunicato stampa diffuso il 10 dicembre 2009 il Garante, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27/11/2008, ha constatato che “informazioni imprecise” anche “talune azioni promozionali da parte di consulenti” rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.
Pertanto l’Autorità ha ribadito che le sue prescrizioni:
- riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, fanno ricorso alla figura professionale dell’ADS o a una figura equivalente;
- non si applicano a quei soggetti che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di un ADS o comunque abbiano ritenuto di non farvi ricorso.
Per quanto poi concerne gli aspetti tecnici del suo provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli ADS), il Garante “ricorda” che l’adeguamento può avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.
Tutto ciò a meno di una settimana dalla scadenza del termine, quando le aziende più solerti hanno già investito in uno dei tanti (costosi) prodotti software prontamente offerti dal mercato, tanto per confermare la regola che in Italia si deve sempre aspettare la proroga o la marcia indietro dell’ultimo minuto! Mi domando se le “precisazioni” dell’Autorità non potevano essere date almeno un mese fa…?!
Scritto il 15-12-2009 alle ore 16:44
Ammetto di aver dormito e giusto pochi minuti fa ho visto il comunicato stampa… Così ora sono venuto su postilla a vedere se c’era qualcuno che avesse commentato la cosa.
Io credo che effettivamente sia stata una marcia indietro perché le precedenti precisazioni lasciavano adito a comprendere che Tutti dovessero occuparsi dell’identificazione del soggetto amministratore di sistema (AdS), pertanto in quelle organizzazioni minori la soluzione fattibile dal punto di vista legale era solo quella di dare evidenza nel DPS (o documento a parte) che la figura dell’AdS coincidesse con il Titolare del trattamento per ovvie ragioni di congruità funzionale e responsabilità.
Fortunatamente per le aziende piccole mi ero limitato a verificare l’esistenza del log semplice di Windows, immaginando che in caso di reale necessità ci si potesse mettere in mano di bravi tecnici o della Polizia postale, ove necessario, per recuperare le informazioni esigite dall’istruttoria; avevo evitato anche solo di “pensare” che le piccole aziende potessero stare a cercare software di un certo tipo (gratis o a pagamento) per organizzare i log quando per aziende piccole fosse insensato… Ma comunque mi ero messo a redigere il documento per l’AdS o, per i nuovi DPS, a inserire il dato direttamente lì lasciandovi validità dichiarativa anche al 31/03/09 con apposito allegato.
Ma effettivamente si trattava di un adempimento assurdo, che bastava richiederlo solo per le imprese grandi, senza un termine per l’adempimento come quello del 15/dic, ma semplicemente dicendo che al primo aggiornamento utile si sarebbe dovuto procedere all’evidenziazione del AdS qualora non già previsto (visto che negli organigrammi che le aziende inseriscono o collegano ai DPS di solito si riesce a capire quale sia il soggetto idoneo, al di là del conferimento d’incarico più puntuale che lascia intendere il Garante…).
Rimango allibito, ma contenuto di questa retromarcia.
Saluti,
LL
Scritto il 16-12-2009 alle ore 09:48
Buon giorno a tutti. Come al solito, però, il legislatore da una definizione poco chiara dell’ADS. All’interno del mio Studio, come in altri Studi - quali gli studi legali - di cui amministro il pesonale, vi è una casa di software che, in sistema remoto, ha nei propri hard disk copia dei nostri archivi dati (dati personali dei dipendenti che amministriamo, dati personali, sensibili e giudiziari); la copia di tali dati presenti negli archivi informatici dello Studio, però, viene eseguita da personale dipendente dello studio stesso. Siamo obbligati in questo caso alla nomina dell’ADS? La software house - con la quale è in essere un contratto di assistenza - e che ha copia (per un rapido backup) degli archivi, è da considerarsi ADS o semplicemente incaricato alla gestione e manutenzione degli strumenti elettronici? Grazie per gli eventuali e necessari chiarimenti che potrete fornirmi.
per. ind. BENINATTO Stefano - TREVISO
Scritto il 16-12-2009 alle ore 10:25
Per ciò che riguarda il provvedimento dell’Autorità per la privacy la definizione dello “amministratore di sistema” è abbastanza chiara. E’ lo stesso Garante a dire che, in assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del 27 novembre 2008 l’amministratore di sistema è inteso come quella figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. Si tratta quindi di quei soggetti interni od esterni all’azienda che hanno delle funzioni tecniche corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali di clienti, fornitori e dipendenti.
Il Garante ha precisato anche che non ha inteso equiparare gli “operatori di sistema” di cui si parla negli articoli del Codice Penale relativi ai delitti informatici, agli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Non rientrano invece nella definizione di “amministratore di sistema” quei soggetti che solo occasionalmente intervengono sui sistemi di elaborazione e sui sistemi software (ad esempio per scopi di manutenzione a seguito di guasti o malfunzionamenti).
Perciò, a mio parere, tutto dipende dal fatto se in concreto i tecnici della SH esterna nell’effettuare le operazioni ad essi affidate dallo Studio possono o no avere accesso anche accidentalmente ai dati personali contenuti nei data base dello Studio e possono (se lo vogliono) intervenire sui dati in essi contenuti (ad es. copiandoli o modificandoli).