Con provvedimento del 27 novembre 2008, pubblicato in Gazzetta Ufficiale il 24 dicembre 2008, il Garante per la protezione dei dati personali ha prescritto ai titolari dei trattamenti effettuati con strumenti elettronici, specifiche misure ed accorgimenti in merito alle attribuzioni delle funzioni degli amministratore di sistema.
Con tale provvedimento il Garante ha voluto sottolineare la necessitą di prestare massima attenzione ai rischi ed alle criticitą implicite nell’affidamento degli incarichi di amministratori di sistema e lo ha fatto attivamente, individuando alcune misure di sicurezza di carattere organizzativo.
Nel corso delle attivitą ispettive disposte negli ultimi anni dal Garante Ź emersa infatti l’importanza che le aziende annettono ai ruoli di “system administrator”, ma al contempo la carente consapevolezza nelle criticitą insite nello svolgimento delle mansioni che competono a chi riveste questo ruolo.
Gli amministratori di sistema nelle loro attivitą tecniche (quali ad esempio il salvataggio dei dati, l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware), sono concretamente responsabili della protezione dei dati a cui accedono.
La rilevanza, la specificità e la particolare criticitą del ruolo di amministratore di sistema sono state considerate anche dal Legislatore, il quale ha individuato, particolari funzioni tecniche che se svolte da chi commette un determinato reato, integrano un circostanza aggravante.
Ci si riferisce in particolare all’abuso della qualitą di operatore di sistema prevista dal codice penale per la fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques).
Per effetto del sopra citato provvedimento le misure di sicurezza di seguito elencate dovranno essere adottate dai titolari dei trattamenti gią iniziati o che avranno avuto inizio entro trenta giorni dalla data di pubblicazione in Gazzetta Ufficiale dello stesso entro e non oltre centoventi giorni dalla medesima data.
Per tutti i trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione sulla Gazzetta Ufficiale, le misure dovranno essere introdotte anteriormente all’inizio del trattamento dei dati.
Le misure da adottare vengono di seguito riportate.
Valutazione delle caratteristiche soggettive: l’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità ed affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento,ivi compreso il profilo relativo alla sicurezza.
Designazioni individuali: la designazione dell’amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operativitą consentiti in base al profilo di autorizzazione assegnato.
Elenco degli amministratori di sistema: gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni attribuite devono essere riportate sul documento programmatico sulla sicurezza oppure, nel caso in cui il titolare non sia tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato. Qualora l’attivitą degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari del trattamento sono tenuti a rendere nota o conoscibile l’identitą degli amministratori di sistema nell’ambito delle proprie organizzazioni.
Servizi di outsourcing: nel caso di servizi di amministratore di sistema deve conservare, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
Verifica delle attività: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attivitą di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
Registrazione degli accessi: devono essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione ed agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integritą adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
R.M.
