Condividi su

Normative: Privacy

27/06/2012
PRIVACY - Legge Privacy (D. Lgs. 196/2003): Provvedimento sugli Amministratori di sistema

A cura del Dottore Juri Torreggiani Consulente privacy

In riferimento agli obblighi introdotti dal “Provvedimento del Garante del 27/11/2008” riguardante la regolamentazione della fondamentale figura dell’Amministratore dei sistemi informatici in azienda, a seguito dei numerosi quesiti pervenuti, riteniamo utile evidenziare i punti di cui sotto, da considerarsi di estrema importanza. 

 

Il contenuto del Provvedimento

A seguito dell’introduzione del Provvedimento sopra citato, si ricorda anzitutto che è necessario attivare idonei programmi/software che consentano di registrare determinate attività informatiche compiute dagli Amministratori di sistema dell’azienda.

In particolare devono essere adottate procedure tecniche capaci di registrare gli accessi logici (autenticazione informatica), a:

• sistemi di elaborazione (sia “server” che “client”);

• archivi elettronici.

Alla luce di chiarimenti forniti recentemente dal legislatore, non è invece necessario che vengano registrate informazioni sulla così detta “attività interattiva” compiuta dagli Amministratori (es. comandi impartiti, transazioni effettuate e operazioni similari).

 

Programmi utilizzabili per la registrazione delle attività

Per assolvere agli obblighi di legge, stante il silenzio normativo, si deve ritenere che sia possibile utilizzare qualunque software idoneo a registrare gli accessi logici di cui sopra.

È quindi ammissibile sfruttare anche software gratuiti, senza appesantire l’azienda di costi aggiuntivi.

 

Caratteristiche delle “registrazioni”

Si ricorda che le registrazioni degli accessi logici (anche dette “access log”) devono avere le seguenti caratteristiche:

• completezza;

• inalterabilità;

• integrità;

Le registrazioni devono poi evidenziare le seguenti informazioni:

• i riferimenti temporali dell’evento (data e ora);

• la descrizione dell’evento (si deve ritenere sufficiente anche una brevissima dicitura).

 

Inalterabilità e integrità delle “registrazioni”

Al fine di garantire l’inalterabilità e l’integrità delle registrazioni richieste dal legislatore, è necessario provvedere periodicamente (almeno semestralmente) ad apporre idonea “firma digitale” e “marca temporale digitale” sui files delle registrazioni medesime. 

Sono ammesse anche procedure tecniche, equivalenti alle precedenti, che consentano comunque in modo efficace e sicuro di “cristallizzare” i logs.

 

Tempo di conservazione delle “registrazioni”

Le registrazioni devono poi essere tassativamente conservate in azienda per un congruo periodo, non inferiore a 6 mesi e messe a disposizione, in caso di verifica, degli Organi di controllo (Guardia di Finanza, Polizia Postale e Garante Privacy).

Tali registrazioni potranno anche essere utilizzate come strumento di difesa dall’azienda stessa, per rilevare, ad esempio, eventuali attività errate o fraudolente poste in essere dagli Amministratori di sistema, dovendosi però escludere un controllo sistematico e costante dell’attività svolta dal singolo soggetto.

 

Adempimenti amministrativi: un presupposto fondamentale

È infine necessario sottolineare che il Provvedimento in oggetto non impone solo l’assolvimento di adempimenti informatici, ma prevede anche la rigorosa stesura di documentazione giuridica/amministrativa, la quale costituisce il presupposto fondamentale e imprescindibile per dare valore legale alle attività tecniche elencate nei punti precedenti.

Al riguardo si evidenzia che:

• gli  Amministratori di sistema devono essere designati individualmente con apposita lettera di nomina personalizzata;

• gli Amministratori di sistema devono conseguentemente sottoscrivere l’accettazione dell’incarico;

• è necessario aggiornare periodicamente un apposito documento interno, evidenziante l’elenco degli Amministratori di sistema in carica;

• gli estremi identificativi degli Amministratori di sistema devono essere comunicati ai dipendenti/collaboratori dell’azienda.

 

Le verifiche annuali sull’operato degli Amministratori

L’operato degli Amministratori di sistema deve poi essere oggetto, con cadenza almeno annuale, di un’attività di verifica a 360° compiuta dall’azienda. 

Come specificato dal legislatore, è importante sottolineare che l’analisi delle registrazioni degli accessi logici, rappresenta solo una parte dell’attività di verifica. 

I controlli dovranno infatti riguardare numerosi altri aspetti riferiti alla persona dell’Amministratore di sistema e al suo operato complessivo. 

L’attività di verifica potrà essere svolta e verbalizzata, in nome e per conto dell’azienda, dal Responsabile Privacy.

Torna alle normative