Amministratori di sistema: non solo software


Le nuove misure per gli Amministratori di sistema non coinvolgono solo sistemi software e hardware.


Studio Mazzolari riporta qua di seguito un pratico Vademecum degli adempimenti procedurali e documentali prescritti ai Titolari del trattamento relativamente alle attribuzioni delle funzioni di amministratore di sistema (Provvedimento a carattere generale 27 novembre 2008) da adottare entro il 15 dicembre 2009.

Tale vademecum presuppone che il Titolare abbia già adottato idoneo sistema per la registrazione e la conservazione degli access log così come disposto dal Punto f) del sopra citato Provvedimento.


Anzitutto: Chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

  • gli amministratori di database,
  • gli amministratori di reti e di apparati di sicurezza,
  • gli amministratori di sistemi software complessi.


Gli adempimenti procedurali e documentali richiesti


a. Valutazione delle caratteristiche soggettive

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

Adempimento: nella nomina dell’Amministratore di sistema vanno richiamati i requisiti previsti per la nomina a Responsabile del trattamento (Comma 2, Art. 29 Dlgs 196/2003). Se è già stato nominato quale Incaricato del trattamento: integrare la nomina con le valutazioni ex art. 29 Dlgs 196/2003.


b. Designazioni individuali
e ambiti di operatività

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Adempimento: all’atto della designazione individuale di un amministratore di sistema, deve essere fatta una “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

NB: non è necessario indicare i singoli sistemi e le singole operazioni affidate. E’ sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.


c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati da parte del Titolare (o del Responsabile esterno) in un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Adempimento: il Titolare (o il Responsabile che svolge il servizio di Amministratore di sistema in outsourcing) redige un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui sono riportati gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali


d. Trattamento dati personali dei lavoratori

I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti.

Adempimento: rendere nota l’identità degli Amministratori di sistema tramite

  • integrazione dell’Informativa ai lavoratori oppure
  • integrazione del Disciplinare interno sull’uso di Internet e Posta elettronica oppure
  • pubblicazione sulla intranet o tramite ordini di servizio o bollettini.


e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili cui il servizio è affidato in outsourcing, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Adempimento: almeno annualmente è da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. In apposito documento da allegare al DPS (o conservare unitamente alla nomina dell’Amministratore di Sistema) va certificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

Annunci

3 pensieri su “Amministratori di sistema: non solo software

  1. Sig. Maggi, buongiorno.

    Di primo acchito mi sembra un software ben fatto e, soprattutto per piccole realtà, economicamente accessibile.
    Ad ogni buon conto: ho girato il link al nostro Responsabile IT per un parere più tecnico.
    Le confesso che quello che più mi lascia perplesso dei software di controllo e reportisica è l’invasività nei confronti dell’attività lavorativa, invasività che va supportata da una policy aziendale chiara, trasparente e, soprattutto, condivisa.

    Una serena giornata a lei,
    Paolo Mazzolari

    Mi piace

  2. Pingback: Privacy: il giro di boa del 31 marzo | SMBlog

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...