Amministratori di sistema e open source

Il comunicato stampa del 10 dicembre del Garante, chiude con un richiamo a soluzioni software gratuite basate su licenze open source.

Al riguardo SMBlog segnale un importante contributo dell’informatico Paolo Giardini di Perugia esperto in materia di open source: http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/.

Ricordiamo, inoltre, che il Provvedimento del Garante sugli amministratori di sistema non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle misure di semplificazione.

Nello specifico non si applica ai soggetti pubblici o privati che:

  1. utilizzano dati personali non sensibili o che trattano come unici dati sensibili  riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;
  2. trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
Annunci

Amministratori di sistema: comunicato stampa del Garante

Con comunicato stampa del 10 dicembre, il Garante interviene per:

  • Confermare la scadenza del 15 dicembre per l’adozione delle nuove misure necessarie di sicurezza relative agli Amministratori di sistema,
  • Precisare i destinatari di tali disposizioni.

Di seguito il testo del comunicato stampa disponibile sul sito del Garante.

In vista della scadenza del 15 dicembre, termine entro il quale imprese e altri soggetti interessati devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema, l’Autorità per la protezione dei dati personali ritiene opportuno precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende.

L’Autorità, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27 novembre 2008, ha infatti constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.

L’Autorità intende dunque ribadire quanto segue:

  • le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
  • le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.

Roma, 10 dicembre 2009

Amministratori di sistema: non solo software

Le nuove misure per gli Amministratori di sistema non coinvolgono solo sistemi software e hardware.


Studio Mazzolari riporta qua di seguito un pratico Vademecum degli adempimenti procedurali e documentali prescritti ai Titolari del trattamento relativamente alle attribuzioni delle funzioni di amministratore di sistema (Provvedimento a carattere generale 27 novembre 2008) da adottare entro il 15 dicembre 2009.

Tale vademecum presuppone che il Titolare abbia già adottato idoneo sistema per la registrazione e la conservazione degli access log così come disposto dal Punto f) del sopra citato Provvedimento.


Anzitutto: Chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

  • gli amministratori di database,
  • gli amministratori di reti e di apparati di sicurezza,
  • gli amministratori di sistemi software complessi.


Gli adempimenti procedurali e documentali richiesti


a. Valutazione delle caratteristiche soggettive

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

Adempimento: nella nomina dell’Amministratore di sistema vanno richiamati i requisiti previsti per la nomina a Responsabile del trattamento (Comma 2, Art. 29 Dlgs 196/2003). Se è già stato nominato quale Incaricato del trattamento: integrare la nomina con le valutazioni ex art. 29 Dlgs 196/2003.


b. Designazioni individuali
e ambiti di operatività

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Adempimento: all’atto della designazione individuale di un amministratore di sistema, deve essere fatta una “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

NB: non è necessario indicare i singoli sistemi e le singole operazioni affidate. E’ sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.


c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati da parte del Titolare (o del Responsabile esterno) in un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Adempimento: il Titolare (o il Responsabile che svolge il servizio di Amministratore di sistema in outsourcing) redige un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui sono riportati gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali


d. Trattamento dati personali dei lavoratori

I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti.

Adempimento: rendere nota l’identità degli Amministratori di sistema tramite

  • integrazione dell’Informativa ai lavoratori oppure
  • integrazione del Disciplinare interno sull’uso di Internet e Posta elettronica oppure
  • pubblicazione sulla intranet o tramite ordini di servizio o bollettini.


e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili cui il servizio è affidato in outsourcing, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Adempimento: almeno annualmente è da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. In apposito documento da allegare al DPS (o conservare unitamente alla nomina dell’Amministratore di Sistema) va certificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

Amministratori di sistema: alleggerimenti per i Titolari e nuovi adempimenti per gli Outsourcer

Con l’intervento di proroga al 15 dicembre 2009 dell’adozione delle nuove misure necessarie di sicurezza relative agli amministratori di sistema, il Garante ha introdotto importanti novità affinché gli adempimenti connessi all’individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dagli outsourcer nominati responsabili del trattamento attraverso l’integrazione del loro atto di nomina formale oppure attraverso clausole contrattuali ad hoc (v. il nuovo Punto 3-bis del Proivvedimento 25 giugno 2009).

Vediamo qua di seguito le parti del provvedimento del Garante interessate alle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Nuovo punto 3-bis:

“dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali”.

A tutti buon lavoro e, sempre, l’augurio di aude aliquid dignum.