Il garante della privacy ha prorogato al 30 giugno 2009 i termini per l’adozione da parte di enti, amministrazioni pubbliche e società private, delle misure tecniche e organizzative che riguardano la figura degli “amministratori di sistema” e che sono volte alla tutela delle informazioni personali dei lavoratori.
Il motivo dello slittamento è stato duplice: in primo luogo è stata considerata l’opportunità di unificare le scadenze previste per l’adozione di tali misure prorogando tutti i termini; poi si è tenuto conto dei numerosi quesiti pervenuti sull’esatta interpretazione degli adempimenti che hanno pertanto messo in evidenza il numero elevato dei soggetti interessati.
Le regole erano state fissate dal garante con il provvedimento del 27 novembre 2008 che prescrive l’adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sull’attività svolta da chi ha la titolarità delle banche dati e dei sistemi informatici.
Gli accessi ai sistemi di elaborazione dati e agli archivi elettronici da parte degli amministratori dovranno perciò essere registrati (in maniera più o meno automatica) in modo tale da comprendere i riferimenti temporali e la descrizione dell’evento che ha imposto l’accesso all’archivio o al sistema.
Tali registrazioni dovranno poi essere conservate per un periodo non inferiore a sei mesi. Dovrà inoltre essere previsto un controllo almeno annuale da parte dei titolari del trattamento sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge.
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.