Privacy: adempimenti e facsimile per la nomina ad "amministratore di sistema" – parte prima

Aggiornamento (16 novembre 2009): è disponibile il testo completo dell'ebook "Sei lezioni sulla privacy" che comprende un aggiornamento relativo a questo tema.   

Come ho già scritto qualche settimana fa ("Privacy: nuovi adempimenti per le funzioni di amministratore di sistema") il Garante per la protezione dei dati personali ha imposto che sia predisposto un "elenco degli amministratori di sistema e loro caratteristiche".

Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico o nella modifica di quella già esistente ma richiede al titolare una serie di "misure e accorgimenti" e, non ultimi, di "adempimenti in ordine all'esercizio dei doveri di controllo da parte del titolare (due diligence)" sulle attività dell’amministratore.

Il nuovo adempimento in sintesi

Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", pubblicato sulla G.U. n. 300 del 24 dicembre 2008, il Garante per la protezione dei dati personali impone ai titolari di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di predisporre un "elenco degli amministratori di sistema e loro caratteristiche".
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigere il DPS, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Nella pratica occorre:

  • individuare coloro che ricadono nella categoria di "amministratore di sistema"
  • valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza
  • designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
  • verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti
  • registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica).

Sono esclusi dall'ambito applicativo del presente provvedimento i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008).

Cosa si intende per amministratore di sistema?

Il primo punto di riflessione riguarda l’individuazione di coloro che ricadono nella categoria di "amministratore di sistema".

Tale figura, anche se non esplicitamente indicata nel "Codice in materia di protezione dei dati personali" era prevista, viceversa, dal d.P.R. 318/1999 (abrogato dal Codice) che definisce l'amministratore di sistema il "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione" (art. 1, comma 1, lett. c).
Nel provvedimento del 27 novembre 2008 il Garante dice che con "amministratore di sistema" si individuano figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti e che sono considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi e ciò anche quando l'amministratore non consulti "in chiaro" le informazioni relative ai trattamenti di dati personali.

Come si valutano le capacità dell’amministratore di sistema?

Il titolare, prima di procedere alla nomina, deve valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
In che modo ciò può essere svolto (ed eventualmente dimostrato al Garante in caso di ispezione)?
È ovvio che si parte dal presupposto che chi di fatto svolge già oggi la funzione di amministratore di sistema sia in grado si svolgere la propria funzione; è opportuno allora predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti. Il CV deve essere datato e firmato sia dall’amministratore che dal titolare. L’indicazione dei percorsi formativi svolti specie per gli ambiti non prettamente tecnologici ma relativi invece alle problematiche della privacy e della protezione dei dati personali assume un valore particolarmente importante per il "rispetto della garanzia delle vigenti disposizioni". L’amministratore di sistema non può essere solo un bravo tecnico ma deve conoscere la normativa sulla privacy.

Designazione dell’amministratore di sistema.

Occorre predisporre una lettera di "incarico" specifica che contenga:

  • attestazione che l’incaricato ha le caratteristiche richieste dalla legge;
  • elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;
  • indicazione delle "verifiche" almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema;
  • indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge.

In allegato al presente articolo è disponibile un facsimile di lettera di nomina ad "amministratore di sistema" nei formati:

  • openoffice 3.0 (odt, 24 K 2 pp)
  • word 97/2003 (doc, 50 K 2 pp)
  • pdf (pdf, 305 K, 2 pp)

Fine prima parte

Leggi seconda parte

Link utili

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

ComplianceNet: