|
Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008 è stato pubblicato il testo del provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni amministrative di sistema".
Il Garante ha rilevato l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti "amministratori di sistema" nonchè di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, imponendo nuovi adempimenti ai titolari di trattamenti effettuati (anche parzialmente) con strumenti elettronici.
Obiettivo del provvedimento
Con la definizione di "amministrazione di sistema" si individuano, oltre alle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, anche gli amminitratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amminitratori di sistemi software complessi.
La rilevanza, la specificità e la particolare criticità del ruolo dell'amminitratore di sistema sono state considerate anche dal legislatore il quale ha individuato, nuovi reati o aggravanti in sede penale.
Le funzioni tipiche dell'amministratore di un sistema, richiamate nel menzionato allegato B del documento programmatico della sicurezza, riguardano la custodia delle componenti riservate delle credenziali di autenticazione, la realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati), la custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.
Con il presente provvedimento il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema.
Quali le caratteristiche dell'amministratore di sistema
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. La designazione quale amminitratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, o anche in un documento interno da mantenere disponibile in caso di accertamenti da parte del Garante.
L'identità degli amministratori di sistema deve essere in taluni casi resa conoscibile tramite idonea informativa ex art. 13 Codice.
Nel caso di servizi di amministratore esternalizzati il titolare deve conservare direttamente e specificatamente, per ogni eventuale esigenza, gli estremi identificativi delle persone che interverranno quali amministratori di sistema.
Verifiche
L'operato degli amministratori di sistema deve essere oggetto di un'attività di verifica periodica, almeno annuale, da parte dei titolari del trattamento, in modo da verificare la sua rispondenza alle misure organizzative, tecniche e di sicurezza.
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) da parte degli amministratori di sistema.
Le registrazioni (access log) devono essere complete, inalterabili e verificabili nella loro integrità, così da considerarsi adeguate al raggiungimento dello scopo di verifica.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.
Tempi di adozione delle misure e degli accorgimenti
Per tutti i trattamenti, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati, a decorrere ovviamente dall'entrata in vigore dell'obbligo di registrazione (15/12/2009). | 
