torna alle news
2 Dicembre 2009

Nomina amministratori di sistema

Il 15 Dicembre2009 è scaduto il termine per la nomina degli Amministratori di Sistema (AdS) di cui al Provvedimento del Garante dello scorso 28 novembre. In pratica, sono stati introdotti nuovi criteri e requisiti per la nomina degli amministratori di sistema. Il nuovo adempimento in materia di gestione e protezione dei dati personali stabilisce che amministratori di sistema, di rete, di database o manutentori conservino le registrazioni (gli access log) per almeno sei mesi in archivi immodificabili e inalterabili.  I log devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste: vuol dire che le registrazioni devono contenere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi).

Il Garante definisce l’Amministratore di sistema (AdS) come la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui sono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, le reti locali e gli apparati di sicurezza nonchè i sistemi software complessi (es. gli ERP Enterprise resource planning vale a dire quei sistemi che aiutano a gestire le risorse d’impresa integrando tutti i diversi aspetti del business: contabilità, controllo di gestione, gestione del personale, ecc.) nella misura in cui consentano di intervenire sui dati personali. Va notato che il Garante individua con gli AdS specifici operatori di sistema dotati di specifici privilegi, pertanto non sono AdS quei soggetti che solo occasionalmente intervengono sui sistemi di elaborazione e sui sistemi software. La nomina va fatta dal titolare (o, se presente, dal responsabile) e resta in capo al titolare la discrezionalità della scelta dell’amministratore (o degli amministratori) di sistema. Il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che “per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice). Si dovrà procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

E’ possibile anche nominare un AdS semplicemente come incaricato del trattamento ma, in questo caso, va comunque seguita la stessa procedura e valutazione dei requisiti che si fa in caso di nomina di un responsabile. Gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all’interno del DPS e i loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
Nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nel caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà l’obbligo di conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull’operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione previste per le piccole e medie imprese o professionisti che trattano dati personali per le sole finalità amministrative e contabili.

SANZIONI IN CASO DI MANCATO ADEGUAMENTO

Le prescrizioni del Garante sopra commentate in materia di attribuzione delle funzioni di AdS e di registrazione degli accessi sono adottate ai sensi dell’ art. 154, comma 1, lett. c), del Codice (d.lgs. 196/03).
L’art. 162 del Codice, come recentemente modificato dall’ultimo decreto milleproroghe, dispone, al comma 2-ter, che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie ex art. 154, comma 1, lett. c), è applicata, in ogni caso, la sanzione del pagamento di una somma da 30 mila a 180 mila euro.
Inoltre, l’art. 143, comma 1, lett. c), del Codice dispone che Il Garante può, in sede di reclamo, vietare il trattamento illecito o non corretto per la mancata adozione delle misure necessarie (cioè quelle che il Garante può prescrivere al titolare per rendere il trattamento conforme alle disposizioni vigenti come in questo caso) e il successivo art. 170 dispone in via generale che, chiunque essendovi tenuto, non osserva il provvedimento adottato ai sensi dell’art. 143, comma 1, lett. c), è punito con la reclusione da 3 mesi a 2 anni.

Per informazioni:
Fulvia Belletti
f.belletti@confartigianatobologna.it

Vai alla pagina dell`Assistenza

Tutte le notizie a proposito di Assistenza tecnica e normativa