Nelle scorse settimane è stato introdotto un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici, a garanzia della sicurezza degli stessi dati e dei sistemi.
In pratica, sono state introdotte nuovi criteri e requisiti per la nomina degli amministratori di sistema, che devono tenersi al corrente di quali risorse vengano visualizzate – compresi dati sensibili – e da chi.
Il nuovo adempimento in materia di gestione e protezione dei dati personali reso noto dal Garante Privacy è del 27 novembre 2008 – Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – e prevede che amministratori di sistema, di rete, di database o manutentori conservino le registrazioni (gli access log) per almeno sei mesi in archivi immodificabili e inalterabili.
I log devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste: vuol dire che le registrazioni devono contenere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi).
Gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del DPS e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
Nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nel caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà l’obbligo di conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull'operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o professionisti che trattano dati personali per le sole finalità amministrative e contabili.
Il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che “per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice). Si dovrà procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
Tutto questo dovrà essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già in essere o iniziati entro il 22 gennaio 2009, mentre per i trattamenti successivi, sarà obbligatorio sin da subito.
