Sei sulla pagina 1di 6

Privacy ed amministratori di sistema

Misure ed accorgimenti da adottare


Domande e risposte

Studio Legale
Avv. Stefano Bendandi

http://www.stefanobendandi.com
http://stefanobendandi.blogspot.com
Indice generale
Valutazioni soggettive..................................................................................3
Designazione individuale.............................................................................3
Elenchi............................................................................................................3
Verifiche.........................................................................................................4
Log..................................................................................................................4
Termini di attuazione....................................................................................4
Sezione domande e risposte........................................................................5
Quali figure sono obbligate ad applicare le misure previste ?.........................5
Quali figure rientrano nel concetto di amministratore di sistema ?.................5
Come deve comportarsi il titolare prima di nominare uno o più
amministratori di sistema ?...................................................................................5
Con quali modalità deve avvenire la nomina ?...................................................5
Che cosa si intende per verifica dell'operato degli amministratori ?...............6
Quando deve essere effettuata la verifica ?........................................................6
L'attività degli amministratori di sistema deve essere registrata ?..................6
Con quali modalità e garanzie deve essere effettuata la registrazione degli
accessi ?..................................................................................................................6
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare

Gli amministratori di sistema svolgo- VALUTAZIONI SOGGETTIVE


no, sempre più spesso, un ruolo specifi-
co nella gestione delle varie componen-
ti del patrimonio informativo e risultano L'attribuzione dei compiti e delle re-
destinatari di livelli privilegiati di acces- sponsabilità tipiche di un amministrato-
so alle risorse ed ai dati, compresi quel- re di sistema presuppone una valuta-
li di natura personale, essendo coinvolti zione preventiva dell'esperienza, delle
in molte attività, anche critiche, di tratta- capacità e dell'affidabilità del soggetto
mento. che si intende designare il quale deve,
a sua volta, fornire idonea garanzia del
Da ciò deriva la necessità di inqua-
rispetto delle disposizioni di legge vi-
drare la loro nomina come un atto di
genti anche sotto il profilo della sicurez-
fondamentale importanza, idoneo ad in-
za.
fluire sui livelli di sicurezza complessivi
di una infrastruttura informatica, così Questo accorgimento non vale sol-
come del resto accade per altre deci- tanto nel caso in cui l'amministratore
sioni analoghe, espressione per lo più debba essere designato, contestual-
di una scelta in campo tecnologico. mente, come responsabile di uno o più
trattamenti, ma anche nell'ambito di una
E' questa la convinzione cui è giunta,
designazione come puro incaricato.
anche all'esito delle numerose attività
ispettive svolte, l'autorità garante della Pertanto, vista la specificità e la na-
privacy, preoccupandosi di definire con tura dell'incarico da svolgere, è neces-
un apposito provvedimento di carattere sario attenersi sempre a criteri di valu-
generale, emanato in data 27 novem- tazione analoghi a quelli richiesti per la
bre 2008, le misure e gli accorgimenti nomina del responsabile dall'art. 29 del
ritenuti idonei a garantire che la nomi- d.lgs. 196/03.
na, le attività ed i controlli sull'operato In difetto di una idoneità nella valuta-
degli amministratori di sistema siano in zione o nei criteri sui quali quest'ultima
linea con la specificità del loro ruolo e si basa il titolare può, infatti, incorrere in
con le prescrizioni vigenti in materia di una responsabilità per incauta designa-
protezione dei dati personali. zione (culpa in eligendo).
L'ambito di applicazione del provve-
dimento è circoscritto ai titolari di dati DESIGNAZIONE INDIVIDUALE
personali che effettuano, anche in par-
te, il trattamento mediante l'ausilio di
strumenti elettronici, con l'esclusione, La nomina deve avvenire su base in-
comunque, dei titolari di dati trattati per dividuale ed essere accompagnata dal-
le sole finalità amministrative e contabili la indicazione analitica degli ambiti di
oggetto dei recenti interventi di semplifi- operatività consentiti dal possesso di un
cazione. determinato profilo di autorizzazione.
Le misure riguardano gli amministra-
tori di sistema e le figure ad essi equi- ELENCHI
parabili dal punto di vista dei rischi rela-
tivi alla protezione dei dati personali
La lista delle persone fisiche desi-
(amministratori di database, di rete, di
gnate come amministratori di sistema
sicurezza e di sistemi software).
deve essere riportata in un apposito do-
cumento interno mantenuto aggiornato
e disponibile in caso di accertamento.

Pag. 3
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare

Inoltre, salvo diverse e contrarie di- che, devono essere dotati di adeguate
sposizioni di legge, l'identità di queste caratteristiche di completezza, inaltera-
persone deve essere resa conoscibile bilità ed integrità.
dal titolare, nell'ambito della propria or- Le registrazioni devono comprendere
ganizzazione, quando la loro attività ri- un riferimento temporale, accompagna-
guardi, anche indirettamente, sistemi o to dalla descrizione degli eventi che le
servizi con i quali si trattano dati perso- hanno generate, ed essere conservate
nali dei lavoratori. per un congruo periodo non inferiore a
Questa forma di pubblicità può esse- sei mesi.
re realizzata in vario modo ed, in parti-
colare, attraverso:
TERMINI DI ATTUAZIONE
• l'informativa di cui all'art. 13 del
d.lgs. 196/03
Le misure e gli accorgimenti previsti
• il disciplinare tecnico adottato in
dal provvedimento dovranno essere
osservanza del provvedimento
del garante del 1° marzo 2007 adottati entro il 15 dicembre 2009.
(uso di Internet e della posta
elettronica in azienda)
• gli strumenti di comunicazione
interna come la intranet o la ba-
checa aziendale, gli ordini di ser-
vizio, ecc...
Se le funzioni di amministrazione dei
sistemi sono devolute all'esterno (cd.
outsourcing) il titolare od il responsabile
del trattamento devono conservare gli
estremi identificativi delle persone fisi-
che preposte.

VERIFICHE

Con cadenza almeno annuale i titola-


ri o responsabili del trattamento devono
verificare l'operato degli amministratori
di sistema al fine di valutarne la rispon-
denza alle misure tecniche, organizzati-
ve e di sicurezza adottate nel campo
della protezione dei dati personali.

LOG

Gli accessi ai sistemi di elaborazione


ed agli archivi elettronici da parte degli
amministratori devono essere tracciati
in appositi log elettronici che, in relazio-
ne alle finalità di supporto delle verifi-

Pag. 4
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare

SEZIONE DOMANDE E RISPOSTE Come deve comportarsi il


titolare prima di nominare uno
o più amministratori di
Quali figure sono obbligate ad
sistema ?
applicare le misure previste ?
Innanzitutto, anche se può sembrare
Tutti i titolari (o responsabili del trat- banale, è opportuno verificare che la
tamento) che trattano dati personali con nomina risponda ad una esigenza effet-
strumenti informatici ed elettronici, an- tiva.
che se in modo parziale.
In secondo luogo occorre valutare l'i-
Sono esclusi i titolari che trattano doneità a ricoprire l'incarico da parte del
dati per le sole finalità amministrativo- soggetto da designare.
contabili, cioè quelle attinenti alla ordi-
I criteri per compiere questa valuta-
naria gestione aziendale che non ri-
zione sono gli stessi previsti per la no-
guardano dati sensibili, giudiziari o di
mina del responsabile del trattamento.
traffico telefonico e telematico.
Questo vuol dire quindi che l'espe-
Infine, le prescrizioni relative alla ve-
rienza, la capacità e l'affidabilità del
rifica dell'attività ed alla tenuta di log
candidato devono costituire una garan-
degli accessi non si applicano nei casi
zia del rispetto delle disposizioni del co-
limite di titolare che svolga le funzioni di
dice della privacy, compreso l'aspetto
unico amministratore di sistema,
attinente la sicurezza dei dati.
come avviene nelle realtà organizzative
di dimensioni più ridotte. Se questa valutazione manca o av-
viene in modo superficiale si può anche
incorrere in una responsabilità per in-
Quali figure rientrano nel cauta designazione, nel caso in cui il
soggetto designato non sia poi in grado
concetto di amministratore di di garantire, nei limiti delle proprie fun-
sistema ? zioni, il livello di protezione dei dati che
è lecito attendersi.
Quelle in possesso di competenze
tali da poter essere incaricate della ge-
stione e manutenzione dei sistemi infor- Con quali modalità deve
matici o delle loro componenti (hard- avvenire la nomina ?
ware e software).
Nella stessa definizione rientrano an- E' opportuno che sia documentata e
che le figure equiparate che svolgono che contenga una indicazione precisa
una attività di gestione e manutenzione delle funzioni e dei compiti attribuiti al-
che presenta dei rischi relativi alla pro- l'amministratore (così come avviene per
tezione dei dati personali (amministrato- il responsabile del trattamento).
ri di database, di rete, di sicurezza, di E' sufficiente a tale riguardo specifi-
software, ecc...), mentre ne sono esclu- care l'ambito di operatività attribuito per
si i soggetti che solo occasionalmente settori o aree applicative, senza dover
intervengono per scopi di manutenzio- entrare nei dettagli dei singoli sistemi.
ne sui sistemi di elaborazione e sui si-
In questo modo si garantisce una
stemi software.
sufficiente chiarezza sull'ambito di esigi-
bilità della prestazione professionale ri-

Pag. 5
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare

chiesta. Non vanno, invece, registrati i dati


derivanti dalle interazioni dell'utente
(comandi, transazioni, ecc....), così
Che cosa si intende per come l'accesso agli applicativi software,
verifica dell'operato degli nei limiti in cui quest'ultimo avvenga
sulla base di appositi profili di autorizza-
amministratori ? zione.
Significa accertare che l'attività svol-
ta dagli amministratori sia conforme Con quali modalità e garanzie
non soltanto alle mansioni attribuite, ma
anche alle misure tecniche, organizzati- deve essere effettuata la
ve e di sicurezza previste dalla legge in registrazione degli accessi ?
materia di protezione dei dati personali.
La verifica fa sì che il titolare possa Le registrazioni (record) devono con-
considerarsi diligente nell'effettuazione tenere l'indicazione della data/ora (time-
dei controlli. stamp) e la descrizione dell'evento che
le genera (login, logout, errore, ecc...) e
Tra i criteri di controllo può essere ri-
soddisfare gli ulteriori requisiti della
compresa anche l'analisi dei log degli
completezza, inalterabilità e verifica del-
accessi.
la integrità.
L'inalterabilità può essere ottenuta
Quando deve essere effettuata mediante la semplice esportazione dei
dati su supporti non scrivibili (worm,
la verifica ? write once read many) o con sistemi più
complessi.
Quando si reputa opportuna, anche
in relazione alle dimensioni ed alla com- La verifica dell'integrità dei dati può
plessità dell'organizzazione di riferimen- invece richiedere l'utilizzo di appositi al-
to e, comunque, con cadenza almeno goritmi crittografici (cd. funzioni di hash,
annuale. come md5, sha1, ecc....).
A seconda delle dimensioni, della
complessità della infrastruttura IT e del-
L'attività degli amministratori l'analisi dei rischi, l'adozione di queste
di sistema deve essere ed altre misure può comportare uno
sforzo organizzativo e tecnologico non
registrata ? indifferente.
Le registrazioni vanno infine conser-
Soltanto quella che comporta un ac-
cesso ai sistemi ed agli archivi elettroni- vate per un periodo minimo di 6 mesi.
ci (database) attraverso i quali si tratta-
no, anche indirettamente, dati persona-
li.
L'accesso cui si fa riferimento è quel-
lo che avviene tipicamente sulle posta-
zioni client e server, basato su procedu-
re di autenticazione informatica, il cui ri-
sultato sia un evento positivo (success)
o negativo (failure).

Pag. 6