Condividi su

Normative: Privacy

23/12/2015
PRIVACY - Amministratori dei sistemi informatici e Legge Privacy

A cura del Dott. Juri Torreggiani - Consulente privacy

Nel presente intervento si evidenziano in estrema sintesi, gli aspetti normativi e operativi che sono rimasti immutati e quelli che invece sono stati innovati, con l’introduzione dell’importante provvedimento riguardante gli “Amministratori dei sistemi informatici”, emanato dal Garante della Privacy già da diversi anni, ma ancora oggetto di numerosi quesiti e dubbi interpretativi da parte delle aziende.

 

1) L’apparato sanzionatorio e le responsabilità.

In riferimento ai reati di stampo informatico, l’apparato delle sanzioni penali e delle responsabilità è rimasto immutato a seguito del provvedimento del Garante della Privacy del 27 novembre 2008 relativo agli Amministratori di sistema.

Esattamente come accadeva in precedenza infatti, chiunque (e quindi anche il semplice operatore a terminale), acceda abusivamente a un sistema informatico (pc, server, rete), compia frodi informatiche, danneggi dati, informazioni e programmi informatici, è perseguibile ai sensi degli articoli 615 ter, 635 bis - ter - quater - quinques, 640 ter, del codice penale.

 

2) Compiti e doveri dell’Amministratore di sistema.

Si deve constatare che anche i compiti ed i doveri dell’Amministratore di sistema rimangono esattamente quelli già assegnati e assolti antecedentemente al suddetto provvedimento, il quale non ha previsto ulteriori obblighi a carico di tale figura.

Risultano quindi del tutto ingiustificate, a parere del sottoscritto, le frequenti richieste di compensi aggiuntivi che vengono avanzate da parte degli Amministratori di sistema per lo svolgimento dei loro compiti.

 

3) Obblighi introdotti a carico dell’azienda: importanti novità.

Il provvedimento del Garante della Privacy del 27 novembre 2008 ha invece introdotto le seguenti novità e obblighi a carico dell’azienda:

l’Amministratore di sistema deve anzitutto essere individuato con precisione e formalmente designato per iscritto con apposita lettera di nomina, assegnandogli compiti specifici e dettagliate istruzioni operative. È fondamentale che l’Amministratore di sistema accetti la nomina e segua le istruzioni operative/linee guida impartite dall’azienda;

l’Amministratore di sistema deve poi operare con un suo codice utente personale ed esclusivo (nei fatti ciò era già previsto anche in precedenza tramite la “nomina dell’incaricato”), il quale deve essere abbinato a una parola chiave conforme ai requisiti di legge (si ricorda in tal senso, che la parola chiave deve essere costituita da almeno 8 caratteri alfanumerici, deve risultare sufficientemente complessa e deve essere cambiata periodicamente);

l’azienda deve conservare traccia delle attività svolte dall’Amministratore di sistema, registrando i così detti “logs” con apposite procedure informatiche;

le attività dell’Amministratore di sistema devono essere verificate dall’azienda almeno annualmente per accertarne la correttezza e prevenire eventuali reati o abusi sui dati.

È importante ricordare che vanno individuate e nominate all’interno dell’azienda tutte le persone fisiche che svolgono le funzioni di Amministratori di sistema.

In conclusione, si evidenzia che quanto appena sopra esposto è finalizzato a tutelare al meglio i dati aziendali, evitando che l’Amministratore di sistema (il quale rappresenta una figura cruciale a livello informatico), ponga in essere operazioni non consentite, errate o fraudolente, di cui si perda qualunque traccia. 

Torna alle normative