Nuova dignità per gli Amministratori di sistema

Eccoci ad un nuovo importante intervento del Garante privacy in merito agli adempimenti nei confronti degli Amministratori di sistema.

Il Garante ha infatti deciso di richiamare l’attenzione di enti, amministrazioni, società private sulla figura professionale dell’ amministratore di sistema e ha prescritto l’adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. Le misure e le cautele dovranno essere messe in atto entro 120 giorni dalla pubblicazione in G.U. (ovvero entro il 23 aprile 2009) da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. 

Sono esclusi coloro che rientrano nell’ambito di applicazione del Provvedimento 27.11.2008 sulle semplificazioni, ovvero coloro che effettuano trattamenti di dati, sia in ambito pubblico che privato, a fini amministrativo contabile (V. Provv. 27 novembre 2008).

In particolare il Garante indica le seguenti misure:

  • registrazione degli accessi: adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
  • verifica della attività: verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
  • elenco degli amministratori di sistema e loro caratteristiche: ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.

Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza

  

 

L’intero provvedimento è consultabile al seguente link sul sito del Garante Privacy

 

 

     

 

 

 

 

Semplificazione delle misure di sicurezza

 

Altre buone notizie sul fronte privacy.

Sulla Gazzetta Ufficiale è stato pubblicato il provvedimento del Garante che semplifica le misure minime di sicurezza contenute nel disciplinare tecnico, di cui all’allegato B) al codice in materia di protezione dei dati personali. 

Le nuove garanzie interessano:

amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali;

piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili (tra i quali anche dati relativi allo stato di salute con indicazione della relativa diagnosi quali le cartelle sanitarie e di rischio ex D.L. 626/1994, la denuncia all’Inail ex artt. 13 e 53 D.P.R. 1124/1965, le informazioni relative a condizioni di handicap o allo stato di tossicodipendenza del lavoratore)

Le categorie interessate:

possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente

possono utilizzare per l’accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password: lo username deve essere disattivato quando viene meno il diritto di accesso ai dati;

possono mettere in atto procedure o modalità che consentano comunque l’operatività e la sicurezza del sistema in caso di assenze prolungate o di impedimenti del dipendente

almeno una volta l’anno devono aggiornare i programmi di sicurezza (antivirus) e almeno una volta al mese devono effettuare backup dei dati .

 

DPS 

Per i soggetti di cui al punto 1. è già previsto che si possa redigere un’autocertificazione in luogo del DPS;

Per i soggetti di cui al punto 2. Il Garante ha fornito alcune indicazioni per la redazione di un documento programmatico per la sicurezza (DPS) semplificato. 

 

Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante.


(Provvedimento Garante per la protezione dei dati personali 27/11/2008)