Proroga dei termini e modifiche in tema di amministratori di sistema. Il Provvedimento generale del Garante del 25 giugno 2009

In tema di amministratori di sistema, il Garante della privacy ha emanato in data 25 giugno 2009 il provvedimento con cui:

1) proroga nuovamente al 15 dicembre 2009 il termine per l’adozione degli adempimenti previsti con il proprio provvedimento del 27 novembre 2008;

2) rivede anche i contenuti degli adempimenti da osservare in materia di amministratori di sistema, apportando talune modifiche, che raccolgono gli esiti delle consultazioni pubbliche che si sono concluse lo scorso 31 maggio.

Come precisato dal Garante nel suo comunicato del 26 giugno 2009,

«Il Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli amministratori di sistema, recependo alcune indicazioni pervenute, anche da associazioni di categoria, nel corso della consultazione pubblica conclusasi il 31 maggio.

Con le nuove disposizioni il Garante intende facilitare il corretto adempimento alle prescrizioni impartite, mantenendo comunque elevato il livello di protezione dei dati personali e le garanzie per i cittadini.

L’Autorità, in particolare, ha consentito che gli adempimenti connessi all’individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai titolari, anche dai responsabili del trattamento. Ciò allo scopo di rendere tali obblighi più agevoli per quelle realtà aziendali nelle quali determinati servizi informatici vengano svolti da società esterne.

Di conseguenza – limitatamente alle misure tecniche e organizzative necessarie per quanto richiesto – il termine per l’adozione delle prescrizioni è stato prorogato al 15 dicembre prossimo».

Di seguito si riporta il testo integrale del provvedimento, ove vengono disposte le modificazioni alla disciplina sugli amministratori di sistema e la proroga dei termini per l’adozione degli adempimenti.

Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli artt. 31 ss. e 154, comma 1, lett. c) e h), nonché il disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B del medesimo Codice;

VISTO il provvedimento del Garante del 27 novembre 2008 relativo a “misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, pubblicato sulla G.U. n. 300 del 24 dicembre 2008 (di seguito, “Provvedimento”);

VISTO il provvedimento del Garante del 12 febbraio 2009 con cui si è disposto di unificare e contestualmente prorogare i termini per l’adempimento delle prescrizioni di cui al citato Provvedimento procrastinandone la scadenza al 30 giugno 2009, pubblicato sulla G.U. n. 45 del 24 febbraio 2009;

VISTO il provvedimento del Garante del 21 aprile 2009 con cui si è deciso di attivare una consultazione pubblica volta ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del Provvedimento, dando tempo fino al 31 maggio 2009 per far pervenire osservazioni e commenti, pubblicato sulla G.U. n. 105 dell’8 maggio 2009;

TENUTO CONTO dei numerosi contributi pervenuti, sia da singoli titolari del trattamento sia da associazioni rappresentative di categoria, che evidenziano taluni problemi applicativi relativi alla completa attuazione di alcune delle misure e degli accorgimenti prescritti nel Provvedimento;

CONSIDERATO che, oltre ai predetti contributi, sono pervenute anche richieste di differimento dei termini indicati nel provvedimento del 12 febbraio 2009;

RILEVATA pertanto l’opportunità di integrare e parzialmente modificare il Provvedimento recependo alcune delle indicazioni emerse nel corso della consultazione pubblica per facilitare il corretto adempimento alle prescrizioni impartite, senza compromettere il livello di tutela assicurato agli interessati;

RITENUTO, in particolare, di prevedere che le prescrizioni relative alla conservazione degli estremi identificativi degli amministratori di sistema e alla verifica delle attività da questi svolte possano essere rimesse al responsabile del trattamento, all’atto della sua designazione da parte del titolare o anche tramite opportune clausole contrattuali;

RITENUTA, altresì, la necessità di prorogare i termini previsti per l’adempimento delle prescrizioni, disponendo che tutti i titolari del trattamento (qualunque sia la data di inizio dei trattamenti che li riguardano) adottino le misure e gli accorgimenti di cui al punto 2 del dispositivo del Provvedimento, come modificato e integrato dal presente provvedimento, entro il 15 dicembre 2009;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

DISPONE:

a) di apportare in premessa del Provvedimento le seguenti modifiche:

1. al punto 4.3, primo capoverso, le parole “nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque” sono eliminate;

2. al punto 4.3, terzo capoverso, la parola “deve” è sostituita dalle parole “o il responsabile del trattamento devono”;

3. al punto 4.4, primo capoverso, dopo la parola “titolari” sono aggiunte le parole “o dei responsabili”;

b) di apportare al punto 2 del Provvedimento le seguenti modifiche:

1. alla lettera c), primo capoverso, le parole “nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque” sono eliminate; al secondo capoverso, alla fine del penultimo periodo dopo la parentesi, sono aggiunte le parole “o tramite procedure formalizzate a istanza del lavoratore”.

2. alla lettera d), le parole “il titolare deve” sono sostituite con “il titolare o il responsabile esterno devono”;

3. alla lettera e), dopo le parole “titolari del trattamento” sono inserite le parole “o dei responsabili”;

4. dopo il punto 3 è aggiunto il seguente punto 3-bis: “dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali”;

c) di prorogare al 15 dicembre 2009 i termini per l’adempimento delle prescrizioni di cui al punto 2 del Provvedimento, come modificate e integrate dal punto b) del presente provvedimento;

d) di trasmettere copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 25 giugno 2009

IL PRESIDENTE – Pizzetti

IL RELATORE – Pizzetti

IL SEGRETARIO GENERALE -Patroni Griffi

A questo link è possibile consultare il provvedimento generale del 25 giugno 2009 sul sito del Garante.

Per quanto riguarda le FAQ medio tempore rese dal Garante, si rinvia a questo post.

Fabio Bravo

www.fabiobravo.it

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

I commenti sono chiusi.

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books