Prorogato al 30 giugno 2009 il termine per l’applicazione delle nuove misure stabilite dal Garante Privacy con il provvedimento del 27 novembre 2008 che anche le società private dovranno adottare relativamente agli amministratori di sistema.
La proroga è stata concesssa per via dell’elevato numero di soggetti interessati e dei quesiti da essi pervenuti per l’esatta interpretazione degli adempimenti.
L’esigenza di fissare regole certe sulla figura dell’amministratore di sistema nasce dalla consapevolezza di quanto sia strategico il suo ruolo in azienda per quanto attiene la sicurezza informatica.
Una figura finora trascurata dal Codice per la protezione dei dati personali, verso la quale invece l’Autorità vuole porre l’attenzione, alla luce di quanto emerso dalle ispezioni: spesso le violazioni avvengono proprio per mano degli amministratori di sistema ai quali verrebe lasciata troppa libertà di azione.
Il Garante ha così fornito ai titolari di banche dati e sistemi informatici indicazioni precise sulle misure tecniche e organizzative da adottare, per verificare le attività dell’amministratore.
Tutte le aziende dovranno quindi verificare con cadenza annuale l’operato del proprio amministratore di sistema, designato alla gestione delle misure organizzative, tecniche e di sicurezza sul trattamento dei dati personali previste dalle norme vigenti.
A tal fine dovranno essere anche adottati sistemi idonei per la registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, completi di riferimenti temporali e descrizione dell’evento da conservare per un periodo non inferiore a sei mesi.
Le imprese dovranno infine fornire al Garante – nel proprio documento programmatico della sicurezza (DPS) o documento interno – gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.