provvedimento del 27 novembre 2008

FAQ in tema di Privacy e Amministratori di sistema. Le risposte del Garante

 La figura degli «Amministratori di Sistema» (ADS), con un’accezione piuttosto estesa, è al centro dell’attenzione del Garante, per il ruolo nevralgico che questi hanno per la società dell’informazione (information society).

Com’è noto, con proprio provvedimento generale del 27 novembre 2008, il Garante è intervenuto a fornire una disciplina specifica sugli «amministratori di sistema», imponendo al titolare del trattamento dei dati personali una serie di adempimenti volti a controllare l’operato degli amministratori medesimi.

Con successivi provvedimenti è stata dapprima differita l’efficacia dell’attuazione di tale provvedimento, ora prevista per il 30 giugno 2009, e successivamente, a seguito di stimolazioni del mondo imprenditoriale, è stata avviata una pubblica consultazione, che dovrebbe concludersi per il 31 maggio 2009.

Sul tema si veda anche questo precedente post, nel quale possono essere recuperati tutti i link ai singoli provvedimenti del Garante.

L’interpretazione del provvedimento del 27 novembre 2008 sugli amministratori di sistema appare tuttavia non sempre agevole. Le difficoltà sono state però fronteggiate, in questa fase iniziale, con le «Risposte alle domande più frequenti (FAQ)», fornite dal Garante agli interrogativi che gli sono stati posti inizialmente.

Di seguito riporto le 24 domande sottoposte al Garante per ottenere chiarimenti sulla portata normativa del provvedimento in questione. Per le risposte, che non trascrivo, rinvio direttamente al documento del Garante, sul proprio sito istituzionale, reperibile a questo link.

Risposte alle domande più frequenti (FAQ)

1) Cosa deve intendersi per “amministratore di sistema”?

2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?

4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?

5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?

6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.

7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?

8) Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?

9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…)?

10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’ access log?

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?

12) Come va interpretata la caratteristica di inalterabilità dei log?

13) Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?

14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?

16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?

17) Cosa si intende per “consultazione in chiaro”?

18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?

20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?

21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?

22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?

23) Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.

24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?

Molti dei chiarimenti forniti con le risposte alle predette domande sono sicuramente preziosi per orientarsi nella lettura del provvedimento,  che presenta diversi aspetti critici, di non immediata soluzione.

Le FAQ si rivelano un utile strumento per chi, nella prassi, deve adeguarsi alla normativa in questione. Le risposte sono state fornite, tuttavia, il 21 maggio 2009, come emerge attualmente dall’homepage del sito istituzionale del Garante e nel provvedimento relativo all’avvio della consultazione pubblica.

Pur costituendo un importante ausilio, le FAQ dovrebbero essere lette, pertanto, unitamente all’ulteriore prezioso riscontro che verrà dato a seguito delle pubbliche consultazioni, che si chiuderanno alla fine del mese.

Fabio Bravo

www.fabiobravo.it

Privacy e misure sugli Amministratori di sistema. Indetta la consultazione del Garante per determinare le modalità di attuazione

Con un provvedimento apparso in G.U. dell’8 maggio 2009, il Garante per la protezione dei dati personali è intervenuto ancora una volta in materia di «amministratori di sistema», impiegando un’accezione molto estesa fino a ricomprendere anche gli amministratori di rete, di db e di software dotati di una certa complessitità (cfr. anche questo post).

Dopo aver adottato un provvedimetno generale in data 27 novembre 2008 (qui in PDF), nel quale venivano prescritte nuove misure per i titolari del trattametno di dati personali finalizzate a gestire il rapporto con gli amministratori di sistema e controllarne l’attività, e dopo aver prorogato il termine di attuazione del provvedimento da aprile a fine giugno, il Garante decide ora di avviare, fino al 31 maggio 2009, una consultazione pubblica sull’attuazione delle misure concernenti l’amministratore di sistema, riportate al punto n. 2 del citato provveddimento del 27 novembre 2008, che di seguito si trascrive:

«2. ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):

a. Valutazione delle caratteristiche soggettive

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

b. Designazioni individuali

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

d. Servizi in outsourcing

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f. Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi»

Si tenga presente che la pubblica consultazione è stata avviata a seguito

«di quanto emerso a seguito di alcuni incontri svoltisi presso l’Autorità con alcune associazioni rappresentative di categoria e, in particolare, con Asstel in data 19 marzo 2009, Confindustria in data 20 aprile 2009 e Abi in data 21 aprile 2009, e delle memorie e quesiti pervenuti anche da parte di singoli titolari del trattamento, a seguito dei quali sono state predisposte alcune faq (risposte a quesiti posti più frequentemente) da pubblicare sul sito dell’Autorità www.garanteprivacy.it».

Ai fini della pubblica consultazione, il Garante ha deliberato

«di attivare le procedure necessarie volte ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del dispositivo del provvedimento del 27 novembre 2008.

Osservazioni e commenti potranno pervenire entro il 31 maggio 2009 all’indirizzo dell’Autorità di Piazza di Monte Citorio n. 121, 00186 Roma, ovvero all’indirizzo di posta elettronica: ads@garanteprivacy.it».

Fabio Bravo

www.fabiobravo.it

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books