2/3/2013
Amministratore Di Sistema Nell’ultimo Anno
Variazioni nella normativa privacy e l’attività dell’amministratore di sistema
La figura dell’Amministratore di Sistema, intesa come figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali deve essere nominata secondo le prescrizioni del Garante, e cioè previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve, quindi, fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo di sicurezza.
Negli ultimi mesi nella normativa privacy sono intervenute due notevoli variazioni: abolizione del documento programmatico di sicurezza (DPS), riduzione del concetto di interessato a sola persona fisica. Questi aspetti vanno ad influenzare direttamente l’attività dell’amministratore di sistema.
Nella realtà di tutti i giorni, l’aspetto di più complessa attuazione (soprattutto per le piccole realtà) del provvedimento sull’ amministratore di sistema è l’obbligo di adottare soluzioni di registrazione degli accessi logici dell’amministratore di sistema ai sistemi, con l’obbligo di conservazione per sei mesi dei log da mantenersi complete, inalterabili e con adeguate possibilità di verifica dell’integrità delle medesime.
Su ogni sistema quindi si devono effettuare queste attività: mappatura dei sistemi, verifica di quali fossero destinatari dell’obbligo di adozione della soluzione di registrazione log, individuazione dell’amministratore di sistema interno ed esterno (e su questi verifica dell’amministratore di sistema in grado di loggarsi al sistema del titolare o svolgenti attività in outsourcing), individuazione del prodotto, assegnazione delle credenziali di autenticazione, avvio della registrazione, manutenzione della conservazione.
Influenza sull’amministratore di sistema delle novità privacy
L’abolizione del DPS non influisce in modo diretto sul provvedimento, quello che invece davvero impatta, è la riduzione del concetto di interessato a persona fisica. Il provvedimento si applicherà esclusivamente sui sistemi aventi ad oggetto il trattamento di dati di “persone fisiche”. Quindi si applicherà sui sistemi di gestione del personale, su quelli che hanno ad oggetto dati sensibili (sanitari, sindacali), su quelli che hanno database di persone fisiche (chi effettua B2C, assicurazioni, banche, sistemi IP di videosorveglianza).
E’ conveniente ri-effettuare la mappatura dei sistemi in cui loggare l’amministratore di sistema?
Se i sistemi di loggatura sono ancora da creare allora logicamente si adotteranno solo sui database contenenti dati di persone giuridiche, ma disapplicare parzialmente il sistema di loggatura può creare notevoli difficoltà.
Inoltre, per molte aziende il provvedimento sull’amministratore di sistema è divenuto oggetto di controllo da parte di organismi di vigilanza ai fini della 231, ed un modo per gestire soprattutto le verifiche sugli accessi da remoto o on site, di amministratore di sistema esterni alla struttura. Inoltre è prossima l’emanazione del Regolamento europeo che sembra che darà varie incombenze proprio sotto il profilo della sicurezza.
Provvedimento originario del Garante
relativamente all’ Amministratore di Sistema