Dopo la pubblicazione in Gazzetta Ufficiale (n.300 del 24 Dicembre 2008), entra in vigore il provvedimento del Garante Privacy che fissa alcuni criteri in merito all’attività svolta da parte degli “amministratori di sistema”. L’obiettivo è quello di garantire massima trasparenza sull’operato di coloro che trattano dati personali servendosi di strumenti elettronici. Gli amministratori di sistema, scrive l’ufficio del Garante, “sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione“. Per tal motivo, il Garante ha deciso di richiamare l’attenzione di enti, amministrazioni e società private sulla figura professionale dell’amministratore di sistema prescrivendo, allo stesso tempo, una serie di misure tecnico-organizzative che possano agevolare la verifica del lavoro svolto.
Secondo quanto stabilito, le misure dovranno essere applicate entro quattro mesi da parte di tutte le aziende private così come dai soggetti pubblici. Restano comunque esclusi dal provvedimento i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
I punti cardine sono essenzialmente tre: si dovranno adottare sistemi di controllo che consentano la registrazione degli accessi effettuati dagli amministratori di sistema ai sistemi di elaborazione ed agli archivi elettronici (dovranno essere presenti riferimenti temporali unitamente con una descrizione dell’evento; tali informazioni dovranno essere conservati per un periodo di tempo non inferiore a sei mesi); i titolari del trattamento dovranno periodicamente verificare la rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali; ciascuna azienda o soggetto pubblico dovrà inoltre inserire, nel documento programmatico della sicurezza (DPS) o in un documento interno (disponibile in caso di accertamenti da parte del Garante), gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.
Il Garante ricorda che “dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza“.
Per maggiori informazioni, è possibile fare riferimento ai documenti del Garante – consultabili agli indirizzi seguenti -:
– Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.
– Amministratori di sistema: occorre massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola.