Imprese e pa devono avere un amministratore di sistema, secondo quanto previsto dal provvedimento della privacy del 27 novembre 2008, pubblicato sulla Gazzetta ufficiale del 24 dicembre 2008.
La misura consiste nella individuazione e nella nomina formale di chi amministra i sistemi informativi di un'azienda, di un ente o di uno studio professionale.
Tale provvedimento ha, secondo il garante, lo scopo di elevare il livello di sicurezza nel trattamento dei dati collegati con gli elaboratori. Così si potrà contrastare un certo lassismo nell'uso dei computer ed elaboratori. L'attenzione alla sicurezza informatica, responsabilizzando enti pubblici, imprese e professionisti e obbligazioni a rivolgersi a persone, preparare e fornire un livello adeguato di tutela degli elaboratori. L'adempimento può, però, incontrare alcune difficoltà interpretative e attuative. A questo scopo il garante è pubblicato alcuni faq sul suo sito istituzionale. Sempre per superare queste difficoltà operative bisogna essere utili i modelli di designazione dell '
A CHI SI APPLICA
Il garante è stato precisato in un suo comunicato del 10 dicembre 2009 chi è tenuto alla nomina dell'amministratore di sistema e gli altri adempimenti connessi.
Questo allo scopo di arginare «azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici». A questo proposito il garante ha chiarito che le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o aver fatto ricorso alla figura professionale dell'amministratore di sistema o una figura equivalente; conseguentemente le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente forniti da sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, Assegnare a meno di una figura professionale dedicato all'amministrazione dei sistemi o comunque ritenuto ritenuto non farvi ricorso. Insomma quello che conta è il dato dimensionale e organizzativo (anche se non si stabiliscono espressamente livelli soglia).
LOGGING
Il provvedimento previsto, tra gli altri adempimenti, il cosiddetto logging e cioè la registrazione degli accessi dell'amministratore di sistema, con indicazione dei tempi di apertura e chiusura dell'intervento e con la registrazione dell'evento che ha registrato del Sistemista.
Il garante, nel comunicato del 15 dicembre 2009, ha precisato che si può utilizzare il software open source a costo zero per la registrazione degli accessi degli impianti di sistema. L'adempimento può essere realizzato senza fare ricorso a costosi applicativi
SANZIONI
Non nominare l'amministratore di sistema la privacy può costare caro. L'omissione apre la strada all'applicazione della sanzione prevista dall'articolo 162, comma 2 ter, del Codice della privacy.
In caso di inosservanza delle disposizioni di prescrizione di misure obbligatorie o di divieto di cui, collegate, dell'articolo 154, comma 1, lettere c) ed), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 30 mila a 180 mila euro. Sanzioni tra l'altro incrementabili se ricorrono situazioni aggravanti o in caso di non sufficiente deterrenza della sanzione edittale. Per altri l'adempimento non deve essere realizzato dalle piccole e medie imprese, se trattate dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, integrati per scopi di ordine amministrativo e contabile. Rientrano in regola categoria, e si è perciò esonerati dall'obbligo di nominare l'amministratore di sistema, i trattamenti necessari per la gestione di ordinativi,
LE INDICAZIONI DEL GARANTE
Il garante ha fornito alcune indicazioni operative rispondendo ad alcune domande frequenti. Vediamo le risposte.
L'obbligo di registrazione degli accessi logici riguarda i sistemi client «postazioni di lavoro informatizzate». La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso). Non è richiesto in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Nei casi più semplici la registrazione può essere soddisfatta tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità. Il titolare, tuttavia, deve valutare se adottare strumenti più sofisticati (raccolta dei log centralizzata, dispositivi non riscrivibili, tecniche crittografiche per la verifica dell'integrità delle registrazioni).
I più diffusi sistemi operativi garantiscono anche la inalterabilità delle registrazioni. Il requisito, chiarisce il garante, può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e «certificati». Il garante, poi, si spinge a dire che il provvedimento non si preoccupa della effettiva genuina generazione dei dati registrati: il provvedimento si limita a prevedere come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli «accessi» (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento. Non c'è, dice la risposta del garante senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi. Inoltre l'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del garante, sottoporlo a registrazione. Per la nomina dell'amministratore di sistema è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.
Autore: Antonio Ciccia
Fonte: Italia Oggi Sette - 25 gennaio 2010