Amministratori di sistema: requisiti e adempimenti fissati dal Garante

di Sonia Ferretti

Pubblicato 29 Gennaio 2009
Aggiornato 12 Febbraio 2018 20:37

Nelle scorse settimane è stato introdotto un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici, a garanzia della sicurezza degli stessi dati e dei sistemi.

In pratica, sono state introdotte nuovi criteri e requisiti per la nomina degli amministratori di sistema, che devono tenersi al corrente di quali risorse vengano visualizzate – compresi dati sensibili – e da chi.

Il nuovo adempimento in materia di gestione e protezione dei dati personali reso noto dal Garante Privacy è del 27 novembre 2008 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – e prevede che amministratori di sistema, di rete, di database o manutentori conservino le registrazioni (gli access log) per almeno sei mesi in archivi immodificabili e inalterabili.

I log devono avere caratteristiche di completezza, inalterabilità  e possibilità  di verifica della loro integrità  adeguate al raggiungimento dello scopo di verifica per cui sono richieste: vuol dire che le registrazioni devono contenere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi).

Gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del DPS e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.
Nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà  provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nel caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà  l’obbligo di conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull'operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.

In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o professionisti che trattano dati personali per le sole finalità  amministrative e contabili.

Il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che “per esperienza, capacità  e affidabilità  forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice). Si dovrà  procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività  consentiti in base al profilo di autorizzazione assegnato.

Tutto questo dovrà  essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già  in essere o iniziati entro il 22 gennaio 2009, mentre per i trattamenti successivi, sarà  obbligatorio sin da subito.