Privacy ed amministratore di sistema: numerosi i punti ancora aperti

Ho avuto modo di partecipare al recente convegno "Massima trasparenza sull'operato degli Amministratori di Sistema" che ha avuto luogo venerdì 24 Aprile 2009 a cura del Master in Sicurezza del Dipartimento di Informatica dell’Università di Roma "La Sapienza".
Il convegno ha analizzato le problematiche relative al recente (e dibattuto) provvedimento del Garante per la protezione dei dati personali "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008. Ero interessato, in particolar modo, alla presentazione di Cosimo Comella (qui in pdf, 103 K, 22 pp), Dirigente Dipartimento di Informatica e Tecnologie del Garante per la Protezione dei Dati Personali, che speravo potesse sciogliere alcuni dei dubbi sul provvedimento del novembre 2008.
Premesso che il convegno è stato molto interessante e che organizzatori e relatori hanno svolto un ottimo lavoro, tuttavia a conclusione dell’evento rimangono numerosi punti interrogativi.
Il rappresentante del Garante ha infatti sottolineato più volte che il provvedimento sull’amministratore di sistema va inteso come un documento di indirizzo, che fissa cioè le linee guida ed i principi da seguire e non come un elenco di requisiti a cui assolvere in maniera puntuale ed uguale per tutti.

Il messaggio del rappresentante dell’authority è stato: il Garante, in sintonia con le altre autorità di controllo specie in ambito finanziario, si aspetta che il Titolare dei trattamenti adotti, nei confronti dei nuovi adempimenti richiesti, un approccio per principi. Approccio per principi significa che gli adempimenti non sono uguali per tutti ma che devono scaturire (in coerenza tra l’altro di quanto già previsto nel d.lgs. 196/03) da una preliminare analisi dei trattamenti e dei relativi rischi.
Nella discussione seguita alle relazione di Comella è tuttavia emerso chiaramente che i rappresentanti delle aziende ed associazioni di categoria presenti si aspettano da parte del Garante un "chiarimento interpretativo" sui principali adempimenti indicati nel provvedimento del novembre 2008; "chiarimento interpretativo" sul quale, Comella ha fatto intendere, l’authority sta già lavorando e che presumibilmente sarà reso pubblico prima della scadenza del 30 giugno 2009.
Da altre fonti sappiamo, inoltre, che anche l’ABI, l’’Associazione Bancaria Italiana, sta lavorando ad una propria "interpretazione", anche in chiave giuslavoristica, del provvedimento sull’amministratore di sistema.
Cosa possiamo consigliare dunque a chi, in azienda, è impegnato nella predisposizione delle procedure e della relativa documentazione per ottemperare a quanto richiesto dal provvedimento del novembre 2008? Continuare le attività o attendere i pronunciamenti del Garante (e dell’ABI nel caso degli intermediari finanziari)?
A mio avviso vanno completate (o iniziate per chi ancora non avesse cominciato) le attività propedeutiche, ed in ogni caso necessarie, per il corretto rispetto dei nuovi adempimenti. Mi riferisco al censimento dei trattamenti e delle figure (interne ed esterne) che intervengono sui trattamenti indipendentemente dalla natura “sistemistica” o meno delle attività.
È poi necessario rimanere in "continua sintonia" con i rappresentanti delle istituzioni e delle associazioni così da favorire un reciproco scambio di informazioni e di aggiornamenti.
Proprio in tale ottica ho il piacere di annunciare che ANSSAIF, l’Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria, del cui Consiglio Direttivo faccio parte, sta organizzando un incontro proprio sul tema degli amministratori di sistema.
L’incontro, che si terrà a Roma nelle prossime settimane, avrà la forma di un "happy hours": ci incontreremo in modo ed in un ambiente informale per scambiarci opinioni e suggerimenti su quanto già fatto o da fare in relazione al provvedimento del Garante del novembre 2008.

Articoli collegati in questo sito

Link utili

ComplianceNet: