26 mag 2009

Privacy ed amministratori di sistema. I caratteri generali del Provvedimento del Garante per la protezione dei dati personali

1. Introduzione

Con il provvedimento del 21 aprile 2009, pubblicato l’8 maggio, il Garante per la protezione dei dati personali ha indetto una consultazione pubblica per “acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge, con esclusivo riferimento a quanto prescritto al punto 2 del dispositivo del provvedimento del 27 novembre 2008”.

Quest’ultimo, riguardante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (G.U. n. 300 del 24 dicembre 2008), è espressivo dell'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei c.d. "amministratori di sistema", nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati.

Fra gli scopi del provvedimento, in sostanza, vi sono quelli di: 1) promuovere la consapevolezza della delicatezza di tali peculiari mansioni nella "Società dell'informazione" e dei rischi a esse associati; 2) consentire la conoscibilità dell'esistenza di tali figure o di ruoli analoghi svolti in relazione a talune fasi del trattamento all'interno di enti e organizzazioni; 3) promuovere l'adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare.

Cercando di sintetizzare le prescrizioni del Garante è opportuno procedere metodologicamente, non senza evidenziare le conseguenze applicative per gli enti privati e pubblici derivanti dall’interpretazione del provvedimento.


2. Chi è l’amministratore di sistema?

Con la locuzione "amministratore di sistema" il Garante individua figure professionali finalizzate alla “gestione e alla manutenzione di un impianto di elaborazione o di sue componenti”.

Pertanto, ai fini del provvedimento generale possono essere considerate anche altre “figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati”, quali gli amministratori di banche dati, di reti e di apparati di sicurezza, nonché quelli, per espressa previsione del Garante, di sistemi software complessi.

Tali soggetti, “pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati”.

In verità, la disciplina previgente forniva una definzione di amministratore di sistema, inteso quale "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione" (art. 1, comma 1, lett. c - D.P.R. 318/1999).

Il Codice Privacy, invece, pur non accogliendo una definizione normativa, ha disciplinato funzioni tipiche dell'amministrazione di un sistema, per lo più richiamate nel noto All. B) nella parte in cui prevede “l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione”, ovvero la realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati), la custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.

Nel corso delle attività ispettive il Garante ha rilevato l’ importanza del system administrator (e di network administrator o database administrator). In grandi organizzazioni pubbliche e private si è già provveduto ad individuare tali figure nell'ambito di documenti programmatici sulla sicurezza, spesso designandole quali responsabili del trattamento.

In organizzazioni di piccole dimensioni, invece, il Garante ha riscontrato “una carente consapevolezza delle criticità insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico”.

In definitiva, con il provvedimento il Garante ha inteso richiamare “tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema”.


3. Ambito applicativo

Ex art. 154, comma 1, lett. c) del Codice Privacy, il Garante prescrive l'adozione da parte dei titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), delle prescrizioni di cui al successivo punto 4.

Sono esclusi dall’ambito applicativo del provvedimento i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, convertito con la l. 6 agosto 2008, n. 133).


4. Quali sono le prescrizioni del Garante?

Il Garante, quindi, ha previsto che:

4.1. Valutazione delle caratteristiche soggettive - L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

4.2. Designazioni individuali - La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

4.3. Elenco degli amministratori di sistema - Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

4.4. Servizi in outsourcing - Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.5. Verifica delle attività - L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

4.6. Registrazione degli accessi - Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;


5. Conclusioni

In definitiva il Garante ha disposto l’adozione, per i titolari del trattamento di dati personali, di un ulteriore “protocollo interno”, procedendo sulla strada da tempo intrapresa verso la consolidazione di un “modello protocollare”.

E’ indubbio che, da un lato, simili soluzioni possano contribuire a migliorare la sicurezza e l’integrità dei dati, anche tramite la previsione di specifiche “regole di comportamento” e di “controllo”.

Dall’altro lato, però, l’implementazione di simili regole interne deve necessariamente essere orientata verso un modello di organizzazione idoneo ed efficace. In altri termini, un qualsiasi disciplinare interno può assolvere alle proprie funzioni preventive solo se: 1) è predisposto sulla base di una completa valutazione dei rischi rapportata alla natura, alla dimensione ed alla complessità della realtà organizzativa; 2) l’ente è in grado di attuare le prescrizioni e/o di programmare attività concrete per la diminuzione dei rischi od il loro “management”.

Se così non fosse è evidente che si sarebbe in presenza di un protocollo organizzativo destinato ad essere inidoneo ed inefficace ab origine.


Dr. Roberto Flor

maggio 2009


Nessun commento:

Chi legge il mio blog - Blog Visitors