Amministratori di sistema: necessariamente massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola
Gli "accordi di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere funzioni delicate che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di esercizio o di una pubblica amministrazione.
Per questo il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha prescritto l'assunzione di specifiche misure tecniche ed organizzative che agevolino la verifica della sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Le ispezioni effettuate in questi anni dall'Autorità hanno il permesso di mettere in luce in diversi casi una scarsa attenzione da parte della notifica grandi e piccole del ruolo svolto dagli interventi del sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupazione sottovalutazione dei rischi che possono derivare quando quelli di questi esperti sono svolti senza il necessario controllo.
Le misure e le cautele devono essere messe in atto entro quattro mesi da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, previsti a fini amministrativi contabili, che pongono minori rischi per gli interessati.
Registrazione degli accessi
Adozione dei sistemi di controllo che acconsentono alla registrazione degli accessi controllati dagli organi di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le regole devono includere i riferimenti temporali e la descrizione dell'evento che ha generato e devono essere conservati per un congruo periodo, non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla risposta dell'operatore del sistema di misure organizzative, tecniche e di sicurezza regolate dalla legge per i trattamenti di dati personali.
Elenco degli accordi di sistema e delle loro caratteristiche
Ciascuna azienda o soggetto pubblico deve inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) attribuite.
Dovrà infine essere valutato con attenzione esperienza, capacità, affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Fonte: www.garanteprivacy.it