Amministratori di sistema: non solo software

Le nuove misure per gli Amministratori di sistema non coinvolgono solo sistemi software e hardware.


Studio Mazzolari riporta qua di seguito un pratico Vademecum degli adempimenti procedurali e documentali prescritti ai Titolari del trattamento relativamente alle attribuzioni delle funzioni di amministratore di sistema (Provvedimento a carattere generale 27 novembre 2008) da adottare entro il 15 dicembre 2009.

Tale vademecum presuppone che il Titolare abbia già adottato idoneo sistema per la registrazione e la conservazione degli access log così come disposto dal Punto f) del sopra citato Provvedimento.


Anzitutto: Chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

  • gli amministratori di database,
  • gli amministratori di reti e di apparati di sicurezza,
  • gli amministratori di sistemi software complessi.


Gli adempimenti procedurali e documentali richiesti


a. Valutazione delle caratteristiche soggettive

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

Adempimento: nella nomina dell’Amministratore di sistema vanno richiamati i requisiti previsti per la nomina a Responsabile del trattamento (Comma 2, Art. 29 Dlgs 196/2003). Se è già stato nominato quale Incaricato del trattamento: integrare la nomina con le valutazioni ex art. 29 Dlgs 196/2003.


b. Designazioni individuali
e ambiti di operatività

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Adempimento: all’atto della designazione individuale di un amministratore di sistema, deve essere fatta una “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

NB: non è necessario indicare i singoli sistemi e le singole operazioni affidate. E’ sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.


c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati da parte del Titolare (o del Responsabile esterno) in un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Adempimento: il Titolare (o il Responsabile che svolge il servizio di Amministratore di sistema in outsourcing) redige un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui sono riportati gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali


d. Trattamento dati personali dei lavoratori

I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti.

Adempimento: rendere nota l’identità degli Amministratori di sistema tramite

  • integrazione dell’Informativa ai lavoratori oppure
  • integrazione del Disciplinare interno sull’uso di Internet e Posta elettronica oppure
  • pubblicazione sulla intranet o tramite ordini di servizio o bollettini.


e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili cui il servizio è affidato in outsourcing, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Adempimento: almeno annualmente è da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. In apposito documento da allegare al DPS (o conservare unitamente alla nomina dell’Amministratore di Sistema) va certificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

DL Ronchi: non solo acqua

Dunque ieri, 19 novembre, alla Camera è stato dato il via libera al decreto Ronchi che prevede, tra l’altro, la liberalizzazione dei servizi pubblici locali, compresa la gestione delle risorse idriche.

Nel “tra l’altro” vi sono nuove importanti norme in materia di telemarketing che rischiano di azzerare il lavoro del Garante degli ultimi anni tutto improntato alla salvaguardia della pace domestica dalle c.d. telefonate serali di disturbo attraverso il rigoroso principio del consenso preventivo dei destinatari.

 

Cosa cambia?

Registro pubblico: è istituito un registro pubblico al quale dovranno iscriversi quanti non vogliono essere disturbati da telefonate pubblicitarie o commerciali (opt-out)

Prima dell’istituzione del registro: abbonati e utenti si vedranno di nuovo massicciamente contattare da aziende, gestori telefonici, società di servizi con le offerte più diverse

Efficacia retroattiva: potranno essere contattati a fini promozionali anche coloro che a suo tempo avevano manifestato la volontà di non ricevere più pubblicità telefonica

 

La risposta del Garante non si è fatta attendere.

L’Authority per la privacy ha subito espresso forte preoccupazione riguardo agli effetti negativi che potranno derivare dalle nuove norme in materia di telemarketing introdotte dal “decreto legge Ronchi”, appena approvato in via definitiva dalla Camera, manifestando sconcerto anche per la mancata previsione del suo parere formale sull’istituzione del registro, sul cui funzionamento e sulla cui organizzazione l’Autorità viene tuttavia chiamata a vigilare.

Pur riservandosi di verificarne in concreto il funzionamento, l’Autorità esprime infine dubbi sull’effettiva efficacia del registro, il quale peraltro non verrà, come erroneamente riportato da notizie di stampa, gestito direttamente dal Garante, ma da un ente o organismo diverso, ancora da individuare.

Stop allo spamming via fax

Con la Newsletter 231 del 17 novembre 2009, il Garante per la protezione dei dati personali è intervenuto nuovamente per combattere l’invio di pubblicità indesiderata via fax: dall’inizio del 2009 sono oltre 500 le segnalazioni già pervenute al Garante da cittadini e imprese che denunciano questa tecnica di spam.

Il quadro normativo di riferimento per l’invio di informazioni commerciali senza l’intervento di un operatore è l’art. 130, comma 2 del Dlgs 196/2003, il quale prevede, per l’invio di messaggi mediante telefax il preventivo consenso informato e specifico dell’interessato (opt-in).

Da tenere sempre presente che la garanzia di cui all’art.130 del Codice non può essere elusa inviando un primo messaggio che, nel richiedere il consenso, abbia già un contenuto promozionale (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web n. 29840);

La Newsletter segue l’ultimo intervento del Garante reativo ad una società alla quale è stato vietato l’ulteriore trattamento di dati personali, utilizzati senza consenso dei destinatari per l’invio di pubblicità indesiderata. L’Autorità ha imposto, inoltre, la cancellazione di tutti i dati personali per i quali non risulti documentata la manifestazione del consenso all’invio di comunicazioni promozionali. La mancata osservanza del provvedimento di divieto espone a sanzioni penali e al pagamento di una somma che va da trentamila a centottantamila euro.

Come altre imprese in precedenza, anche in questo caso la società ha affermato di utilizzare, per gli invii, nominativi estratti da elenchi telefonici “categorici” pubblici (come Pagine Gialle o Pagine Utili). Questo consentirebbe, ad avviso delle imprese, di poter liberamente disporre di quei numeri per comunicazioni promozionali.

Il Garante, al contrario, ha ancora una volta ribadito che l’uso di sistemi automatizzati per inviare messaggi promozionali, come è il fax (ma il discorso vale anche per sms, mms, e-mail, etc.) impone la preventiva acquisizione del consenso informato e specifico da parte dei destinatari, anche quando si tratti di dati estratti da elenchi categorici o da albi.

Giornata di studio a Chieti assieme al Consorzio Wylford

Sabato 21 novembre 2009, ore 11:30, presso la prestigiosa sede di I.A.RI.FO (Istituto Abruzzese di Ricerca e Formazione), Via Eugenio Bruno n°21 – Chieti

Il sottoscritto avrà l’onore di aprire la prima delle tre giornate di  Seminari sull’Etica negli Affari – 2009.

I seminari, coordinati da Marco Eugenio Di Giandomenico, intendono approfondire alcune questioni etiche che concernono i managers, i professionisti e gli imprenditori nello svolgimento delle rispettive attività.

Filo conduttore è la CSR (Corporate Social Reporting) come schema di riferimento per indurre l’attore economico a porsi in una prospettiva di rendicontazione del proprio operato e quindi di implementazione di migliori decisioni future, alla luce del sistema valoriale di riferimento.

Di seguito il programma della prima giornata:

La Privacy: etica legale e NON legale


Ore 11:30 – Apertura Lavori

Alessandro Siragusa (Presidente WilOne)

Paolo Arquilla (Presidente IARIFO)

Patrick Febbo (Direttore IARIFO)


Ore 12:00 – Greetings

Umberto Di Primio (Consigliere Comune di Chieti)


Ore 12:15 – Relazioni

Marco Eugenio Di Giandomenico (INCER Institute President, Politecnico di Milano)

Paolo Mazzolari (Avvocato, Wylford Consortium CTS)

Gisella De Sandro (Avvocato, Wylford Consortium CTS)