Guardiani Digitali: La Rivoluzione Silenziosa degli Amministratori di Sistema

Il Provvedimento del 27 novembre 2008, emesso dall’Autorità Garante per la protezione dei dati personali, stabilisce misure e accorgimenti specifici per i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, in particolare per quanto riguarda le attribuzioni delle funzioni di amministratore di sistema. Queste misure sono state introdotte per garantire una maggiore sicurezza dei dati personali trattati elettronicamente e per prevenire abusi o accessi non autorizzati.

Contesto e Modifiche Successive

Il provvedimento del 27 novembre 2008 è stato successivamente modificato con un provvedimento del 25 giugno 2009.

Queste disposizioni sono state adottate nel contesto del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) e del Regolamento europeo sulla protezione dei dati (GDPR), che non prevede specifiche disposizioni relative alla figura dell’amministratore di sistema ma implica varie responsabilità per i titolari e i responsabili del trattamento che designano tali figure.

Il Ruolo Cruciale degli Amministratori di Sistema nella Protezione dei Dati

Nell’era digitale, la gestione e la protezione dei dati personali assumono un’importanza sempre maggiore.

Gli amministratori di sistema giocano un ruolo cruciale nella protezione dei dati all’interno delle organizzazioni, operando come custodi della sicurezza delle banche dati e della corretta gestione delle reti telematiche.

Questa figura professionale è responsabile di funzioni delicate che implicano l’accesso a tutti i dati che transitano sulle reti aziendali e istituzionali, compreso il compito di vigilare sul corretto utilizzo dei sistemi informatici

Questo ruolo include anche la responsabilità di gestire le autorizzazioni al personale, garantendo così la sicurezza e la protezione dei dati

Compatibilità con il GDPR

Nonostante il Regolamento Generale sulla Protezione dei Dati (GDPR) non menzioni esplicitamente la figura dell’AdS, le responsabilità attribuite a questa figura professionale sono implicitamente riconducibili a vari elementi del regolamento.

Questo include l’adozione di misure di “privacy by design” e “privacy by default”, che sono ambiti nei quali l’AdS può svolgere un ruolo significativo di progettazione e innovazione

Rischi ed Errori da Evitare

L’AdS ha accesso privilegiato a una notevole quantità di informazioni aziendali, il che comporta una considerevole responsabilità sui dati aziendali.

Per evitare rischi ed errori, è fondamentale valutare preventivamente l’esperienza, la competenza e l’affidabilità di chi è scelto per questo ruolo. La nomina deve essere dettagliata, circoscrivendo con precisione i limiti delle responsabilità dell’AdS

Trasparenza e Comunicazione

È importante che l’identità degli AdS sia resa nota all’interno dell’organizzazione, specialmente se le loro attività riguardano il trattamento di dati personali dei dipendenti.

Questo può essere fatto attraverso informative rivolte ai dipendenti o la pubblicazione sui canali di comunicazione interna, come la intranet aziendale.

Strategie di Protezione dei Dati:
Gli amministratori di sistema possono implementare diverse strategie per migliorare la sicurezza dei dati, tra cui:

Politiche di accesso restrittivo: Assicurarsi che solo il personale autorizzato abbia accesso ai dati sensibili.
Formazione continua: Aggiornarsi sulle ultime minacce alla sicurezza informatica e sulle migliori pratiche per contrastarle.
Audit e monitoraggio: Effettuare controlli regolari sui sistemi per identific

Basandoci su questo nuovo spunto, possiamo ampliare l’articolo per discutere l’importanza di rendere note le figure responsabili della protezione dei dati all’interno delle organizzazioni. Ecco come potremmo strutturare una sezione dedicata:

La Trasparenza nelle Figure di Protezione dei Dati: Un Passo Verso la Sicurezza

Nel contesto della protezione dei dati personali, la trasparenza gioca un ruolo chiave. La conoscibilità delle figure o dei ruoli preposti alla gestione e alla sicurezza dei dati all’interno di enti e organizzazioni non è solo una questione di conformità legale, ma anche un pilastro fondamentale per costruire fiducia tra gli utenti e i clienti.

Facilitare la Conoscibilità:
Considerando l’esigenza di facilitare la conoscibilità dell’esistenza di figure quali gli amministratori di sistema o ruoli analoghi, è evidente l’importanza di rendere trasparenti le fasi del trattamento dei dati in cui questi professionisti sono coinvolti. Questo approccio non solo rafforza la sicurezza dei dati ma promuove anche una cultura della privacy all’interno delle organizzazioni.

Benefici della Trasparenza:

Miglioramento della fiducia: Sapere chi sono i responsabili della gestione dei propri dati aumenta la fiducia degli utenti nei confronti delle organizzazioni.
Prevenzione di abusi: La chiara identificazione delle figure responsabili rende più difficile l’abuso di dati personali.
Facilitazione del rispetto dei diritti: Gli interessati possono esercitare più facilmente i loro diritti in materia di protezione dei dati, come il diritto di accesso, rettifica o cancellazione.

Implementazione Pratica:
Per rendere effettiva questa trasparenza, le organizzazioni possono adottare varie misure, tra cui:

Pubblicazione di informativa sulla privacy: Dettagliare chiaramente le figure coinvolte nella gestione dei dati e le loro responsabilità.
Canali di comunicazione dedicati: Fornire agli utenti canali attraverso i quali possono rivolgersi direttamente ai responsabili della protezione dei dati.

Promuovere la Sicurezza e la Diligenza nella Gestione dei Dati

La protezione efficace dei dati personali richiede un impegno costante e consapevole da parte di tutti gli attori coinvolti.

In particolare, gli amministratori di sistema svolgono un ruolo cruciale nell’implementare misure di sicurezza che tutelino i dati contro accessi non autorizzati, perdite o violazioni. Allo stesso tempo, è fondamentale che i titolari dei dati esercitino un controllo diligente sulle attività svolte, garantendo il rispetto delle normative sulla privacy e la protezione dei dati.

Adozione di Specifiche Cautela:
La necessità di promuovere l’adozione di specifiche cautele e accorgimenti tecnici e organizzativi è imprescindibile per minimizzare i rischi associati alla gestione dei dati. Queste misure possono includere:

Formazione continua: Gli amministratori di sistema devono essere costantemente aggiornati sulle migliori pratiche di sicurezza e sulle ultime minacce informatiche.
Politiche di sicurezza robuste: Adottare politiche di sicurezza che includano la crittografia dei dati, l’autenticazione a più fattori e il controllo degli accessi.
Pianificazione della risposta agli incidenti: Preparare piani dettagliati per rispondere tempestivamente a eventuali violazioni dei dati.

Facilitare l’Esercizio dei Doveri di Controllo:
Per i titolari dei dati, esercitare un controllo diligente significa implementare misure tecniche e organizzative che facilitino la supervisione e la verifica delle attività legate al trattamento dei dati. Questo include:

Due diligence regolare: Effettuare audit periodici e valutazioni del rischio per assicurarsi che le misure di sicurezza siano adeguate e efficaci.
Collaborazione trasparente: Mantenere una comunicazione aperta e trasparente tra i titolari dei dati e gli amministratori di sistema per garantire che entrambe le parti siano consapevoli delle responsabilità e delle aspettative.

La Sfida della Gestione dei Privilegi nell’Amministrazione dei Sistemi

Accesso Privilegiato e Rischi Associati:
È stato constatato che lo svolgimento delle mansioni di un amministratore di sistema, anche quando formalmente designato come responsabile o incaricato del trattamento, comporta la possibilità, sia intenzionale che accidentale, di accedere a dati personali oltre i limiti delle autorizzazioni attribuite. Questa capacità di accesso privilegiato richiede un’attenzione particolare per prevenire abusi o incidenti che potrebbero compromettere la privacy degli utenti.

Misure di Mitigazione:
Per affrontare questa sfida, è essenziale implementare una serie di misure tecniche e organizzative, tra cui:

Principio del minimo privilegio: Assicurarsi che ogni amministratore di sistema abbia accesso solo alle risorse e ai dati strettamente necessari per svolgere le proprie mansioni.
Audit e monitoraggio: Implementare sistemi di audit e monitoraggio delle attività per rilevare e investigare accessi non autorizzati o comportamenti anomali.
Formazione specifica: Fornire formazione regolare agli amministratori di sistema sulle politiche di sicurezza, sull’etica professionale e sulle responsabilità legali legate all’accesso ai dati personali.

Rafforzare la Cultura della Sicurezza:
Al di là delle misure tecniche, è cruciale promuovere una cultura della sicurezza all’interno dell’organizzazione che valorizzi la protezione dei dati personali come un obiettivo comune. La sensibilizzazione e l’impegno di tutti i dipendenti sono fondamentali per prevenire incidenti e garantire una gestione dei dati sicura ed etica.

Sensibilizzazione sui Rischi Associati alla Gestione dei Dati in Ambienti Complessi

La crescente complessità dei sistemi di elaborazione e delle reti informatiche, soprattutto in contesti dove diverse figure con funzioni diverse accedono e gestiscono banche dati, solleva questioni critiche sulla sicurezza e la privacy dei dati personali. È fondamentale che sia il pubblico che i titolari del trattamento, inclusi enti pubblici, amministrazioni e aziende private, siano pienamente consapevoli dei rischi associati.

Rischi in Ambienti Multifunzionali:
La molteplicità di incaricati con diverse funzioni, sia applicative che sistemistiche, aumenta il rischio di accessi non autorizzati o accidentali a dati sensibili. Questo scenario richiede un’attenzione particolare nella gestione dei permessi e nella definizione delle politiche di sicurezza.

Importanza della Sensibilizzazione:

Conoscenza dei rischi: È cruciale richiamare l’attenzione su questi rischi per promuovere pratiche di sicurezza informatica efficaci e consapevoli.
Ruolo dei titolari del trattamento: I titolari del trattamento hanno la responsabilità di garantire che le misure di sicurezza adottate siano adeguate alla complessità dei sistemi gestiti e al livello di rischio associato ai dati trattati.
Promozione di una cultura della sicurezza: Sensibilizzare il pubblico e i titolari del trattamento contribuisce a creare una cultura della sicurezza diffusa, essenziale per prevenire violazioni dei dati e garantire la privacy degli utenti.

Strategie di Mitigazione:
Per affrontare questi rischi, è importante adottare strategie di mitigazione che includano:

Valutazione del rischio: Condurre regolari valutazioni del rischio per identificare vulnerabilità e potenziali minacce.
Formazione e consapevolezza: Fornire formazione continua a tutti gli incaricati sulle migliori pratiche di sicurezza e sulla gestione dei dati.
Politiche di accesso differenziate: Implementare politiche di accesso che riflettano il principio del minimo privilegio, garantendo che ogni utente abbia accesso solo ai dati necessari per le proprie funzioni.

La Responsabilità Legale nella Protezione dei Dati: Misura e Prevenzione

Il quadro normativo relativo alla protezione dei dati personali impone ai titolari del trattamento l’obbligo di adottare misure di sicurezza idonee e preventive per salvaguardare i dati gestiti.

Obblighi dei Titolari del Trattamento:
I titolari sono tenuti a implementare misure di sicurezza che siano non solo efficaci ma anche preventive, al fine di anticipare e mitigare i rischi di violazioni dei dati. La mancata o non adeguata predisposizione di tali misure può esporre i titolari a responsabilità di ordine penale e civile, come indicato dagli articoli 15 e 169 del Codice.

Conseguenze della Mancata Protezione:

Responsabilità penale: I titolari possono essere soggetti a sanzioni penali in caso di gravi violazioni della sicurezza dei dati che comportino accessi non autorizzati o la perdita di dati personali.
Responsabilità civile: Oltre alle sanzioni penali, i titolari possono essere chiamati a rispondere civilmente per i danni causati agli interessati a seguito di una non adeguata protezione dei dati.

Importanza delle Misure di Sicurezza:
L’adozione di misure di sicurezza idonee e preventive non è soltanto un obbligo legale, ma rappresenta anche una pratica fondamentale per costruire la fiducia degli utenti e per garantire la resilienza dell’organizzazione di fronte alle minacce informatiche. Questo include la formazione del personale, l’implementazione di soluzioni tecnologiche avanzate e la costante valutazione dei rischi associati al trattamento dei dati personali.

L’Importanza della Scelta degli Amministratori di Sistema e delle Tecnologie per la Sicurezza dei Dati

Una delle decisioni più critiche che influenzano la sicurezza dei dati all’interno di un’organizzazione riguarda l’individuazione dei soggetti idonei a ricoprire il ruolo di amministratore di sistema. Questa scelta, insieme alla selezione delle tecnologie appropriate, è fondamentale per garantire un elevato livello di protezione dei dati trattati.

Selezione degli Amministratori di Sistema:
La scelta degli amministratori di sistema deve essere effettuata con grande cura, privilegiando professionisti qualificati, affidabili e con una comprovata esperienza nella gestione della sicurezza informatica. Evitare incauti affidamenti è essenziale per prevenire rischi legati a incompetenza o malafede.

Scelta delle Tecnologie:
Analogamente, la selezione delle tecnologie da impiegare per la gestione e la protezione dei dati deve essere guidata da criteri di affidabilità, sicurezza e conformità alle normative vigenti in materia di protezione dei dati. Investire in soluzioni tecnologiche avanzate e aggiornate è cruciale per difendersi efficacemente dalle minacce informatiche in continua evoluzione.

Contributo alla Sicurezza Complessiva:

Incremento della sicurezza: Una scelta oculata sia degli amministratori di sistema che delle tecnologie contribuisce significativamente all’aumento della sicurezza complessiva dei trattamenti dei dati.
Prevenzione di violazioni: Riduce il rischio di incidenti di sicurezza, quali violazioni dei dati personali, accessi non autorizzati o perdite di informazioni sensibili.

La Selezione dei Responsabili del Trattamento: Un Impegno per la Conformità e la Sicurezza

La decisione di designare uno o più responsabili del trattamento dei dati personali è un passo che i titolari possono scegliere di compiere per migliorare la gestione e la sicurezza dei dati. Tuttavia, questa scelta comporta la responsabilità di selezionare accuratamente soggetti che non solo possiedano le competenze tecniche necessarie, ma che siano anche caratterizzati da esperienza, capacità e affidabilità tali da garantire il pieno rispetto delle disposizioni vigenti in materia di trattamento dei dati, inclusi gli aspetti legati alla sicurezza.

Criteri di Selezione:

Esperienza: È fondamentale che i responsabili del trattamento abbiano una solida esperienza nel campo della protezione dei dati personali.
Capacità: Devono possedere le competenze tecniche e legali necessarie per gestire efficacemente i dati nel rispetto delle normative.
Affidabilità: La loro affidabilità è cruciale per assicurare che tutte le operazioni di trattamento dei dati siano eseguite con la massima integrità e sicurezza.

Garanzia del Rispetto delle Normative:
La designazione di responsabili del trattamento che soddisfino questi criteri fornisce una garanzia significativa del rispetto delle normative in materia di trattamento dei dati, compresi gli aspetti legati alla sicurezza. Questo non solo contribuisce a proteggere i dati degli interessati ma rafforza anche la fiducia nei confronti dell’ente o dell’organizzazione responsabile del trattamento.

Implicazioni per i Titolari del Trattamento:
I titolari del trattamento, nel compiere questa scelta, devono quindi valutare attentamente i potenziali candidati, assicurandosi che questi possano effettivamente fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia.

Questo approccio non solo è una questione di conformità legale ma rappresenta un investimento fondamentale nella sicurezza e nell’integrità dei dati personali gestiti.

Semplificazioni Normative e Trattamenti a Minore Rischio

Nel panorama della protezione dei dati personali, è fondamentale riconoscere che non tutti i trattamenti presentano lo stesso livello di rischio per la privacy degli interessati.

Alcuni trattamenti, in particolare quelli effettuati in ambito pubblico e privato per fini amministrativo-contabili, sono stati ritenuti a minor rischio.

Esclusione da Alcuni Obblighi:
Queste categorie di trattamenti sono state escluse dall’ambito applicativo di determinati provvedimenti normativi, riconoscendo così la loro natura meno invasiva e il minore impatto sulla privacy degli interessati.

Tale esclusione mira a semplificare le procedure per i titolari dei trattamenti, consentendo loro di concentrare risorse e attenzioni su trattamenti che presentano rischi maggiori.

Bilanciamento tra Protezione e Efficienza:
Questo approccio riflette un bilanciamento tra la necessità di proteggere i dati personali degli interessati e l’esigenza di garantire l’efficienza operativa delle organizzazioni.

È un esempio di come la regolamentazione possa adattarsi alle diverse realtà operative, promuovendo al tempo stesso una cultura della protezione dei dati che sia sostenibile e non onerosa.

L’Impatto delle Attività Tecniche sulla Protezione dei Dati

Le responsabilità degli amministratori di sistema includono una serie di attività tecniche essenziali per il mantenimento dell’integrità, della disponibilità e della confidenzialità dei dati all’interno di un’organizzazione.

Operazioni come il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware sono fondamentali per la sicurezza dei sistemi informativ

i. Tuttavia, queste attività comportano spesso un’effettiva capacità di azione su informazioni sensibili che, anche se non consultate direttamente dall’amministratore, devono essere considerate alla stregua di un trattamento di dati personali.

La Natura del Trattamento dei Dati nelle Attività Tecniche:

Backup e Recovery: Queste operazioni assicurano che i dati possano essere recuperati in caso di perdita, ma implicano anche la creazione di copie che potrebbero contenere dati personali sensibili.
Gestione dei Flussi di Rete: La configurazione e il monitoraggio del traffico di rete possono indirettamente esporre l’amministratore a dati in transito, sottolineando l’importanza della cifratura e di altre misure di sicurezza.
Supporti di Memorizzazione e Manutenzione Hardware: La manipolazione fisica di dispositivi di memorizzazione e componenti hardware può offrire accesso a dati non cifrati o protetti.

Responsabilità Legale e Circostanze Aggravanti per gli Amministratori di Sistema

Il legislatore ha chiaramente riconosciuto la rilevanza di questo ruolo, introducendo specifiche disposizioni nel codice penale che considerano l’abuso della posizione di operatore di sistema come circostanza aggravante in caso di commissione di determinati reati informatici.

Reati Informatici e Circostanze Aggravanti:

Accesso Abusivo a Sistemi Informatici o Telematici (art. 615 ter): Questa fattispecie riguarda l’accesso non autorizzato a sistemi informatici, con l’aggravante per coloro che abusano della loro qualità di operatore di sistema.
Frode Informatica (art. 640 ter): La manipolazione fraudolenta di dati o programmi informatici a danno altrui, con un’aggravante specifica per gli amministratori di sistema.
Danneggiamento di Informazioni, Dati e Programmi Informatici (artt. 635 bis e ter): L’intenzionale deterioramento, cancellazione o alterazione di dati e programmi informatici, con particolare riguardo agli operatori di sistema.
Danneggiamento di Sistemi Informatici e Telematici (artt. 635 quater e quinques): L’attacco a sistemi informatici con l’intento di comprometterne l’integrità o la disponibilità, con una circostanza aggravante per gli amministratori.

Implicazioni per gli Amministratori di Sistema:
Questa normativa sottolinea la necessità per gli amministratori di sistema di operare con la massima integrità e attenzione, consapevoli delle gravi conseguenze legali che possono derivare da abusi della loro posizione.

È fondamentale che queste figure professionali adottino pratiche etiche e conformi alle leggi vigenti per prevenire violazioni che potrebbero non solo compromettere la sicurezza dei dati ma anche esporli a responsabilità penali significative.

Riconoscimento e Responsabilità degli Amministratori di Sistema nella Società dell’Informazione

Le normative mettono in evidenza non solo la capacità d’azione unica degli amministratori di sistema ma anche la natura fiduciaria delle loro mansioni, paragonabile a quella di altri incarichi che richiedono integrità, competenze tecniche e organizzative, professionalità e moralità.

Questo riconoscimento trascende le definizioni giuridiche, evidenziando come il ruolo degli amministratori di sistema, di rete e di basi di dati sia fondamentale per la sicurezza delle informazioni all’interno delle organizzazioni.

Durante le attività ispettive condotte negli ultimi anni, il Garante per la protezione dei dati personali ha osservato l’importanza che aziende e organizzazioni pubbliche e private attribuiscono a questi ruoli. Indipendentemente dalle definizioni normative, queste figure professionali sono identificate come pilastri nei piani di sicurezza e nei documenti programmatici, venendo talvolta designati come responsabili della sicurezza dei dati.

Riconoscimento Oltre le Definizioni Normative:
Le ispezioni condotte dal Garante per la protezione dei dati personali hanno evidenziato come, indipendentemente dalle definizioni giuridiche, le aziende e le grandi organizzazioni, sia pubbliche che private, attribuiscano grande importanza ai ruoli degli amministratori di sistema, di rete e di database.

Queste figure vengono spesso identificate e incluse nei piani di sicurezza o nei documenti programmatici come responsabili chiave per la gestione della sicurezza informatica.

La Necessità di Requisiti Specifici:
Mentre queste professioni si rivelano indispensabili per la protezione dei dati e la sicurezza delle informazioni, emerge l’esigenza di considerare l’introduzione di requisiti specifici che riguardino l’onorabilità, le competenze professionali e tecniche, e la condotta morale per chi svolge questi ruoli delicati. Tale iniziativa potrebbe rafforzare ulteriormente la fiducia nel loro operato e garantire che la gestione della sicurezza informatica sia affidata a mani esperte e affidabili.

Integrando queste informazioni nel quadro di riferimento normativo del nostro articolo, possiamo evidenziare il ruolo dell’Autorità Garante per la protezione dei dati personali nel promuovere la conoscenza e la comprensione delle normative relative al trattamento dei dati personali, nonché l’importanza delle misure di sicurezza. Questo passaggio chiarisce inoltre le prerogative dell’Autorità di prescrivere misure specifiche o di carattere generale che i titolari di trattamento sono tenuti ad adottare per garantire la sicurezza dei dati. Ecco come potrebbe essere strutturata questa sezione:

Quadro di Riferimento Normativo e il Ruolo dell’Autorità Garante

Promozione della Conoscenza e Delle Misure di Sicurezza:
L’articolo 154, comma 1, lettera h), del Codice sottolinea il compito dell’Autorità di promuovere la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità. Questo include anche l’informazione sulle misure di sicurezza dei dati, aspetto fondamentale per prevenire abusi e violazioni.

Prescrizione di Misure Specifiche:
In aggiunta, la lettera c) dello stesso comma offre all’Autorità la possibilità di prescrivere misure e accorgimenti, sia specifici che di carattere generale, che i titolari del trattamento sono tenuti ad adottare.

Questo potere consente all’Autorità Garante di intervenire attivamente nella definizione delle pratiche di sicurezza, garantendo che le organizzazioni adottino le migliori strategie per la protezione dei dati personali.

Incorporando queste informazioni, possiamo espandere l’articolo per discutere la comunicazione del Garante ai titolari di trattamenti riguardante le funzioni e la criticità del ruolo degli amministratori di sistema. Questo passaggio evidenzia l’importanza di adottare precauzioni adeguate per prevenire e verificare eventuali accessi non consentiti ai dati personali, specialmente quelli effettuati abusando della posizione di amministratore di sistema. Inoltre, sottolinea la necessità di valutare attentamente l’assegnazione di funzioni tecniche assimilabili a quelle di amministratore in contesti che permettano l’accesso ai dati personali. Ecco come potrebbe essere strutturata questa sezione:

Segnalazione ai Titolari di Trattamenti e la Criticità del Ruolo degli Amministratori di Sistema

Nell’ambito delle sue funzioni di tutela e promozione della sicurezza dei dati personali, il Garante per la protezione dei dati personali aveva posto particolare enfasi sul ruolo degli amministratori di sistema.

Il Garante richiamava l’attenzione dei titolari dei trattamenti sulla necessità di adottare cautele specifiche per prevenire e accertare eventuali accessi non autorizzati ai dati personali. Questa esigenza risulta ancora più pressante in caso di abuso della posizione di amministratore di sistema.

Valutazione dell’Assegnazione delle Funzioni:
Il Garante ha inoltre evidenziato l’importanza di valutare con cura l’attribuzione di funzioni tecniche che possano essere assimilate a quelle dell’amministratore di sistema, soprattutto in contesti che consentono l’accesso, anche casuale, ai dati personali. Tale valutazione dovrebbe considerare la convenienza dell’attribuzione delle funzioni, le modalità con cui viene esercitato l’incarico e le competenze tecniche, professionali e comportamentali del soggetto scelto.

Responsabilità Legali Derivanti dalla Designazione:
La comunicazione del Garante sottolinea anche l’importanza di considerare le potenziali responsabilità, sia penali che civili (articoli 15 e 169 del Codice), che possono derivare da una designazione imprudente o inadeguata. Questo aspetto rafforza la necessità di un’attenta selezione e gestione degli amministratori di sistema, al fine di garantire non solo la sicurezza dei dati personali ma anche la conformità legale delle operazioni di trattamento.

Accorgimenti e Misure di Sicurezza per i Titolari dei Trattamenti

Nell’ambito delle sue funzioni normative e di vigilanza, il Garante per la protezione dei dati personali ha definito una serie di accorgimenti e misure di sicurezza che i titolari dei trattamenti di dati personali, effettuati mediante strumenti elettronici, sono tenuti ad adottare.

Queste disposizioni, previste dall’articolo 154, comma 1, lettera c) del Codice, mirano a rafforzare la protezione dei dati personali contro accessi non autorizzati o trattamenti illeciti.

4.1 Valutazione delle Caratteristiche Soggettive per gli Amministratori di Sistema

La selezione degli amministratori di sistema rappresenta un passo cruciale nel garantire la sicurezza e l’integrità dei dati personali all’interno di un’organizzazione. La designazione di tali figure professionali richiede una valutazione attenta delle loro caratteristiche soggettive, tra cui esperienza, capacità e affidabilità. Questi criteri assicurano che l’individuo scelto possa offrire garanzie concrete nel rispetto delle disposizioni normative vigenti, comprese quelle relative alla sicurezza dei dati.

Criteri di Valutazione e Designazione:

Esperienza e Capacità: È fondamentale che l’amministratore di sistema designato possieda un’esperienza adeguata e le competenze tecniche necessarie per gestire efficacemente la sicurezza dei sistemi informativi.
Affidabilità: L’affidabilità del soggetto è cruciale per assicurare la conformità alle norme relative al trattamento dei dati personali e alla protezione della privacy.
Garanzie di Conformità: Il candidato deve fornire garanzie di un impegno costante nel rispetto delle leggi e dei regolamenti applicabili al trattamento dei dati personali.

Designazioni Individuali per gli Amministratori di Sistema

Una componente fondamentale nella gestione della sicurezza dei dati e dei sistemi informativi è assicurare che la designazione degli amministratori di sistema sia effettuata su base individuale. Questo approccio garantisce non solo una chiara attribuzione delle responsabilità ma anche una maggiore tracciabilità delle azioni all’interno dei sistemi.

Dettagli della Designazione:

Individualità: Ogni amministratore di sistema deve essere identificato individualmente attraverso una designazione che ne specifichi chiaramente il ruolo e le responsabilità.
Elencazione degli Ambiti di Operatività: La designazione deve includere un’elencazione analitica degli ambiti di operatività consentiti, delineando esattamente quali operazioni l’amministratore è autorizzato a compiere in base al proprio profilo di autorizzazione.

Questa pratica non solo facilita la gestione sicura e controllata dei sistemi informativi ma contribuisce anche a prevenire abusi o malintesi riguardo le competenze e le autorizzazioni di ciascun amministratore, rafforzando ulteriormente la protezione dei dati personali all’interno dell’organizzazione.

4.3 Elenco degli Amministratori di Sistema

Una gestione trasparente e responsabile dei sistemi informativi richiede che le organizzazioni mantengano un elenco aggiornato degli amministratori di sistema, comprensivo degli estremi identificativi e delle funzioni a loro attribuite.

Questo documento interno, essenziale per una corretta governance dei dati, deve essere facilmente accessibile per eventuali verifiche, anche da parte dell’Autorità Garante.

Comunicazione Interna e Trasparenza:

Disponibilità dell’Elenco: L’elenco degli amministratori di sistema deve essere conservato come documento interno aggiornato, pronto per eventuali ispezioni.
Identità degli Amministratori: Nei contesti in cui gli amministratori di sistema gestiscono o possono indirettamente trattare dati personali dei lavoratori, è necessario che la loro identità sia nota o facilmente reperibile all’interno dell’organizzazione.
Modalità di Comunicazione: Le informazioni sull’identità degli amministratori possono essere comunicate attraverso vari mezzi, come l’informativa ai sensi dell’art. 13 del Codice, disciplinari tecnici specifici, o strumenti di comunicazione interna (es. intranet aziendale).

Outsourcing dell’Amministrazione di Sistema:
Quando i servizi di amministrazione di sistema sono affidati a terzi (outsourcing), il titolare o il responsabile del trattamento deve conservare un record specifico degli estremi identificativi degli amministratori esterni, garantendo così la tracciabilità e la responsabilità anche in queste circostanze.

4.4 Verifica delle Attività degli Amministratori di Sistema

Un aspetto cruciale nella gestione della sicurezza dei dati personali è la verifica periodica dell’operato degli amministratori di sistema. Queste verifiche, da effettuarsi con cadenza almeno annuale, sono fondamentali per garantire che le attività svolte rispettino pienamente le misure organizzative, tecniche e di sicurezza stabilite dalle normative vigenti.

Importanza della Verifica Annuale:

Assicurare la Conformità: La verifica annuale consente di controllare che le azioni degli amministratori di sistema siano conformi alle politiche e alle procedure di sicurezza adottate dall’organizzazione, così come alle disposizioni legislative in materia di protezione dei dati personali.
Identificare e Correggere Deviazioni: Questo processo consente inoltre di identificare tempestivamente eventuali deviazioni dalle norme stabilite e di adottare le misure correttive necessarie per riallinearsi agli standard richiesti.

La responsabilità di condurre queste verifiche spetta ai titolari o ai responsabili del trattamento, i quali devono assicurarsi che le pratiche adottate dagli amministratori di sistema siano sempre all’avanguardia in termini di sicurezza e conformità legislativa. Questo approccio proattivo è essenziale per mantenere elevati livelli di protezione dei dati personali all’interno dell’organizzazione.

Registrazione degli Accessi Logici degli Amministratori di Sistema

Un aspetto fondamentale nella gestione della sicurezza dei dati personali e dei sistemi informativi è l’adozione di sistemi adeguati per la registrazione degli accessi logici (autenticazione informatica) effettuati dagli amministratori di sistema. Queste misure sono essenziali per mantenere un controllo efficace sull’accesso ai sistemi di elaborazione e agli archivi elettronici, assicurando al contempo la tracciabilità e la responsabilità delle operazioni effettuate.

Caratteristiche Fondamentali delle Registrazioni (Access Log):

Completezza: Ogni accesso logico deve essere registrato con tutti i dettagli necessari per identificare chiaramente l’azione effettuata, inclusi data, ora e natura dell’accesso.
Inalterabilità: Le registrazioni devono essere protette da modifiche non autorizzate, assicurando che le informazioni contenute rimangano fedeli all’azione originale registrata.
Verificabilità dell’Integrità: Deve essere possibile verificare l’integrità delle registrazioni in qualsiasi momento, per confermare che non siano state alterate e che riflettano accuratamente le attività svolte.

L’implementazione di queste misure garantisce non solo la conformità alle normative vigenti in materia di sicurezza dei dati, ma anche un miglioramento generale della gestione della sicurezza informatica, consentendo un controllo più efficace e affidabile delle attività critiche legate alla gestione dei sistemi informativi.

I PROVVEDIMENTI

Questo testo mette in evidenza l’importanza attribuita dal legislatore italiano alla gestione delle funzioni tecniche nel trattamento dei dati personali, in particolare per quanto riguarda i ruoli degli amministratori di sistema, di base di dati e di rete. Ecco come potrebbe essere integrato e discusso nell’articolo:

L’Importanza delle Funzioni Tecniche nella Gestione dei Dati Personali

La normativa italiana, tramite l’articolo 154, comma 1, lettera h) del Codice della privacy, sottolinea la criticità del ruolo degli amministratori di sistema, di base di dati e di rete nel contesto del trattamento dei dati personali effettuato con strumenti elettronici. Questa disposizione normativa evidenzia la necessità per i titolari dei trattamenti di valutare con particolare attenzione l’attribuzione di queste funzioni tecniche, soprattutto quando il loro esercizio permette l’accesso, anche solo potenzialmente o fortuito, ai dati personali.

Punti Chiave dell’Articolo:

Valutazione dell’Attribuzione delle Funzioni: È fondamentale che i titolari dei trattamenti considerino attentamente se e come assegnare ruoli che implicano la possibilità di accedere a dati personali. Questa decisione deve tenere conto non solo della necessità operativa ma anche delle qualità tecniche, professionali e di condotta delle persone coinvolte.
Ruoli Specifici Menzionati: La norma fa esplicito riferimento a tre figure professionali chiave all’interno dell’IT: l’amministratore di sistema (system administrator), l’amministratore di base di dati (database administrator) e l’amministratore di rete (network administrator). Questo sottolinea la consapevolezza del legislatore riguardo alla diversità delle funzioni tecniche e alla loro potenziale incidenza sulla sicurezza dei dati personali.

L’attenzione del legislatore verso questi aspetti riflette la crescente importanza della protezione dei dati personali nell’era digitale e sottolinea la necessità di un approccio olistico e attentamente ponderato nella designazione delle funzioni tecniche all’interno delle organizzazioni.

Misure Prescritte per la Protezione dei Dati Personali

L’articolo 154, comma 1, lettera c) del Codice della privacy stabilisce l’obbligatorietà per i titolari dei trattamenti di dati personali, realizzati mediante strumenti elettronici, di adottare specifiche misure di sicurezza. Questa disposizione sottolinea l’importanza di proteggere i dati personali in vari contesti operativi, inclusi quelli sensibili come il settore giudiziario e le forze di polizia.

Ambito di Applicazione:

La normativa copre un ampio spettro di trattamenti di dati personali, richiedendo l’adozione di misure di sicurezza adeguate per prevenire la perdita dei dati, usi illeciti o non corretti e accessi non autorizzati.
Viene fatta eccezione per i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, considerati a minor rischio per gli interessati. Per questi trattamenti sono state introdotte misure di semplificazione per legge, al fine di ridurre gli oneri a carico dei titolari.

Riferimenti Normativi Specifici:

Questa sezione del Codice evidenzia l’impegno del legislatore nella tutela dei dati personali attraverso l’implementazione di misure di sicurezza specifiche, adattate al livello di rischio associato ai diversi tipi di trattamento. La distinzione tra trattamenti soggetti a misure standard e quelli beneficiari di semplificazioni riflette un approccio equilibrato tra la necessità di proteggere i dati personali e l’esigenza di ridurre gli oneri amministrativi per certe categorie di titolari.

Il testo evidenzia una disposizione normativa fondamentale riguardante la protezione dei dati personali trattati mediante strumenti elettronici, inclusi quelli in ambiti specifici come il settore giudiziario e le forze di polizia, delineando eccezioni per trattamenti considerati a minor rischio. Ecco come potrebbe essere discusso e integrato nell’articolo:

Adozione di Misure Specifiche per la Protezione dei Dati Personali

L’articolo 154, comma 1, lettera c) del Codice della privacy impone ai titolari dei trattamenti di dati personali, realizzati con strumenti elettronici e rientranti nell’ambito di applicazione del Codice, l’adozione di misure di sicurezza specifiche. Questo requisito si estende anche ai trattamenti effettuati in contesti delicati come il settore giudiziario e le forze di polizia, sottolineando l’importanza della protezione dei dati in ogni ambito operativo.

Rilevanza delle Misure Prescritte:
L’obbligo di adottare misure di sicurezza adeguate per i trattamenti di dati personali effettuati con strumenti elettronici riflette la crescente attenzione verso la protezione dei dati in un’era digitale. Queste disposizioni assicurano che i titolari dei trattamenti adottino standard elevati di sicurezza per prevenire accessi non autorizzati o illeciti ai dati personali, garantendo così la privacy e la sicurezza degli interessati in ogni contesto operativo.

Criteri di Valutazione per l’Assegnazione delle Funzioni di Amministratore di Sistema

La selezione degli amministratori di sistema è un processo che richiede grande attenzione e cura, poiché questi ruoli sono cruciali per la gestione della sicurezza e del trattamento dei dati personali all’interno delle organizzazioni. La normativa impone che la designazione di tali figure professionali avvenga dopo un’attenta valutazione delle loro esperienze, capacità e affidabilità.

Principi Guida per la Valutazione:

Esperienza, Capacità e Affidabilità: Prima di assegnare le funzioni di amministratore di sistema, è necessario valutare approfonditamente queste tre caratteristiche fondamentali nel candidato, per assicurarsi che possa garantire il pieno rispetto delle disposizioni normative in materia di trattamento dei dati, compresa la sicurezza.
Parità di Criteri di Valutazione: Anche quando le funzioni sono assegnate nel quadro di una designazione come incaricato del trattamento, secondo l’articolo 30 del Codice della privacy, i criteri adottati devono essere equipollenti a quelli previsti per la designazione dei responsabili del trattamento ai sensi dell’articolo 29. Questo assicura un livello uniforme di rigore e responsabilità in tutte le designazioni, rafforzando la protezione dei dati personali all’interno dell’ente.

b. Designazioni Individuali degli Amministratori di Sistema

Nella gestione della sicurezza dei sistemi informativi, la designazione degli amministratori di sistema rappresenta un punto critico. È essenziale che tale designazione sia effettuata su base individuale, con una precisa definizione delle competenze e delle autorizzazioni.

Elementi Chiave della Designazione:

Individualità: Ogni amministratore di sistema deve essere identificato e designato individualmente. Questo approccio personalizzato garantisce una chiara attribuzione delle responsabilità e facilita la gestione delle autorizzazioni.
Elencazione Analitica: Con la designazione, deve essere fornita un’elencazione dettagliata degli ambiti di operatività che l’amministratore è autorizzato a gestire. Questo dettaglio è fondamentale per delimitare esattamente le aree d’intervento in base al profilo di autorizzazione assegnato.

Questa pratica non solo aiuta a prevenire l’accesso non autorizzato o inappropriato ai dati e alle risorse del sistema ma contribuisce anche a una maggiore trasparenza e responsabilizzazione all’interno dell’organizzazione. Garantire che ogni amministratore conosca precisamente i propri limiti e le proprie competenze è un passo fondamentale verso la creazione di un ambiente informatico sicuro e controllato.

Questo testo sottolinea l’importanza della documentazione e della trasparenza riguardo il ruolo e le funzioni degli amministratori di sistema all’interno delle organizzazioni, in particolare quando le loro attività possono influenzare il trattamento di dati personali. Ecco come può essere integrato e discusso nell’articolo:

Gestione e Trasparenza del Ruolo degli Amministratori di Sistema

La corretta gestione delle informazioni relative agli amministratori di sistema è un aspetto cruciale per la sicurezza dei dati all’interno di un’organizzazione. La normativa stabilisce che i dettagli identificativi degli amministratori di sistema, inclusa l’elencazione delle loro funzioni, debbano essere documentati accuratamente in un registro interno. Questo registro deve essere costantemente aggiornato e reso disponibile per eventuali accertamenti da parte del Garante per la protezione dei dati personali.

Obblighi di Trasparenza:

Identità degli Amministratori: Le organizzazioni, sia pubbliche che private, devono garantire la trasparenza riguardo l’identità degli amministratori di sistema, soprattutto quando le loro funzioni impattano, anche indirettamente, il trattamento di dati personali dei lavoratori.
Modalità di Comunicazione: L’identità e le funzioni degli amministratori possono essere comunicate attraverso diverse modalità, inclusa l’informativa ai sensi dell’articolo 13 del Codice in materia di protezione dei dati personali, disciplinari tecnici specifici, strumenti di comunicazione interna come l’intranet aziendale, o procedure formalizzate su richiesta del lavoratore.

Importanza della Documentazione e della Comunicazione:
La documentazione dettagliata e la comunicazione trasparente delle informazioni relative agli amministratori di sistema non solo rispondono a un requisito normativo ma rappresentano anche una pratica fondamentale per garantire la sicurezza dei dati personali trattati. Queste misure assicurano che tutti gli interessati, inclusi i lavoratori, siano consapevoli di chi ha l’autorità e la responsabilità di gestire i sistemi e i servizi informatici che trattano dati personali, contribuendo così a creare un ambiente di lavoro più sicuro e informato.

Il testo evidenzia l’importanza di gestire con attenzione le informazioni relative agli amministratori di sistema, specialmente quando questi servizi sono affidati a fornitori esterni tramite outsourcing. Questa pratica assicura che, anche in contesti esternalizzati, sia possibile mantenere un elevato livello di sicurezza e responsabilità. Ecco come può essere integrato e discusso nell’articolo:

d. Gestione della Sicurezza nei Servizi di Outsourcing

Nell’era digitale, l’outsourcing di servizi IT, compresi quelli relativi all’amministrazione di sistema, è una pratica comune per molte organizzazioni. Tuttavia, questo approccio pone sfide specifiche in termini di sicurezza e gestione delle informazioni. Una disposizione chiave riguarda la necessità per il titolare del trattamento o il responsabile esterno di mantenere un registro preciso degli amministratori di sistema incaricati attraverso l’outsourcing.

Obblighi Specifici in Contesti di Outsourcing:

Conservazione degli Estremi Identificativi: È essenziale che il titolare o il responsabile del trattamento conservino direttamente gli estremi identificativi di ciascun amministratore di sistema esterno. Questo include non solo i dati anagrafici ma anche dettagli specifici sulle funzioni e sulle autorizzazioni assegnate.
Prontezza per Ogni Eventualità: La conservazione di queste informazioni deve essere gestita in modo tale da garantire la massima prontezza e accessibilità in caso di necessità, come accertamenti da parte delle autorità di controllo o situazioni che richiedono una verifica immediata delle responsabilità e delle attività svolte.

Importanza della Trasparenza e della Responsabilità:
La corretta documentazione e conservazione degli estremi identificativi degli amministratori di sistema esterni è fondamentale non solo per adempiere agli obblighi normativi ma anche per garantire un’efficace gestione del rischio e una maggiore trasparenza operativa. Queste pratiche consentono alle organizzazioni di mantenere il controllo sulla sicurezza dei loro sistemi informativi, anche quando alcune funzioni sono esternalizzate.

e. Verifica delle Attività degli Amministratori di Sistema

Una componente fondamentale nella gestione della sicurezza dei dati personali è la verifica regolare dell’operato degli amministratori di sistema. Queste figure svolgono un ruolo critico nell’assicurare l’integrità, la sicurezza e la riservatezza dei dati all’interno delle organizzazioni. Pertanto, è essenziale che i titolari del trattamento o i responsabili effettuino controlli sistematici per valutare la conformità delle loro azioni alle normative vigenti.

Frequenza della Verifica:

La normativa richiede che queste verifiche siano svolte con cadenza almeno annuale. Questo intervallo regolare assicura un monitoraggio costante delle pratiche adottate dagli amministratori di sistema e permette di identificare tempestivamente eventuali aree di miglioramento o non conformità.

Obiettivi della Verifica:

Controllo della Conformità: L’obiettivo principale di queste verifiche è garantire che l’operato degli amministratori di sistema sia conforme alle misure organizzative, tecniche e di sicurezza stabilite dalla normativa per il trattamento dei dati personali.
Identificazione e Correzione delle Deviazioni: Questi controlli permettono ai titolari del trattamento o ai responsabili di identificare eventuali deviazioni dalle procedure stabilite e di intervenire prontamente per correggere tali discrepanze.

Importanza della Verifica Annuale:
La verifica annuale dell’operato degli amministratori di sistema rappresenta una pratica essenziale per mantenere elevati standard di sicurezza e conformità normativa. Questo processo contribuisce significativamente alla protezione dei dati personali, rafforzando la fiducia degli interessati nella capacità dell’organizzazione di gestire in modo sicuro e responsabile le loro informazioni.

Verifica Periodica delle Attività degli Amministratori di Sistema

Nel contesto della gestione della sicurezza dei dati personali, un aspetto fondamentale è rappresentato dalla verifica periodica dell’operato degli amministratori di sistema. Questo controllo, da realizzarsi con cadenza almeno annuale, è cruciale per garantire che le azioni svolte da queste figure chiave siano in piena conformità con le misure organizzative, tecniche e di sicurezza previste dalla normativa.

Obiettivi e Benefici della Verifica Annuale:

Assicurare la Conformità: La verifica annuale mira a controllare che l’operato degli amministratori di sistema sia allineato con le politiche e le procedure aziendali, oltre che con le normative vigenti in materia di trattamento dei dati personali.
Rilevamento di Non Conformità: Questo processo consente di identificare eventuali discrepanze o pratiche non conformi, offrendo l’opportunità di intervenire tempestivamente per apportare le necessarie correzioni.
Miglioramento Continuo: Le verifiche periodiche contribuiscono a un processo di miglioramento continuo delle strategie di sicurezza, permettendo di adeguarsi dinamicamente alle evoluzioni tecnologiche e normative.

L’implementazione di un rigoroso programma di verifica dell’operato degli amministratori di sistema rappresenta quindi un pilastro fondamentale nella strategia di protezione dei dati personali di un’organizzazione, contribuendo significativamente alla prevenzione di incidenti di sicurezza e alla promozione di una cultura aziendale basata sulla responsabilità e sulla trasparenza.

Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009

Nel novembre del 2008, il Garante per la Protezione dei Dati Personali ha introdotto un provvedimento che avrebbe segnato una svolta nella gestione della privacy e del trattamento dei dati personali in Italia. La decisione di emanare tale provvedimento è maturata dopo un’attenta valutazione del Codice in materia di protezione dei dati personali, in particolare gli articoli relativi alle misure minime di sicurezza e alle responsabilità degli amministratori di sistema. L’obiettivo era chiaro: rafforzare le garanzie a protezione dei dati personali trattati mediante strumenti elettronici, delineando ruoli e responsabilità con maggiore precisione.

Il provvedimento del 27 novembre 2008 ha stabilito regole stringenti per i titolari dei trattamenti, enfatizzando la necessità di adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. Tra le novità più significative, l’introduzione di requisiti dettagliati per la designazione degli amministratori di sistema, figure chiave nella gestione della sicurezza informatica.

Tuttavia, l’iter di implementazione delle nuove disposizioni ha sollevato diverse questioni applicative. I titolari dei trattamenti si sono trovati a fronteggiare sfide non trascurabili, sia in termini di comprensione delle nuove prescrizioni sia per quanto riguarda l’adattamento dei propri sistemi informativi alle richieste normative. Queste difficoltà hanno trovato voce nei numerosi contributi pervenuti al Garante, sia da parte di singoli che di associazioni rappresentative di categoria, evidenziando problemi applicativi e richieste di chiarimenti o differimenti dei termini.

Ascoltando attentamente tali feedback, il Garante ha riconosciuto l’opportunità di rendere le prescrizioni più flessibili e aderenti alla realtà operativa delle organizzazioni coinvolte. Di conseguenza, è stato deciso di apportare modifiche al provvedimento originale, con l’obiettivo di facilitare il corretto adempimento alle prescrizioni senza compromettere il livello di tutela assicurato agli interessati. Tra le misure introdotte, si è optato per la possibilità di rimesse delle prescrizioni relative alla conservazione degli estremi identificativi degli amministratori di sistema e alla verifica delle attività da questi svolte direttamente al responsabile del trattamento, attraverso la designazione o mediante opportune clausole contrattuali.

Inoltre, è stata ritenuta necessaria una proroga dei termini previsti per l’adempimento delle prescrizioni, stabilendo che tutti i titolari del trattamento dovessero adottare le misure e gli accorgimenti modificati e integrati dal provvedimento entro il 15 dicembre 2009. Questa decisione ha riflettuto la volontà del Garante di procedere con equilibrio e sensibilità, riconoscendo le complessità legate all’implementazione delle norme e la necessità di garantire un periodo di transizione adeguato.

In conclusione, le modifiche apportate al provvedimento del 27 novembre 2008 rappresentano un esempio concreto dell’impegno del Garante per la Protezione dei Dati Personali nel promuovere una cultura della privacy che sia al contempo rigorosa e realistica, capace di adattarsi alle dinamiche e alle sfide del contesto digitale contemporaneo.

Il provvedimento del 25 giugno 2009 ha introdotto modifiche significative al precedente provvedimento del 27 novembre 2008, riguardante le prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici, in particolare per quanto riguarda le attribuzioni degli amministratori di sistema e la proroga dei termini per il loro adempimento. Queste modifiche sono state pubblicate sulla Gazzetta Ufficiale n. 149 del 30 giugno 2009.

Le principali modifiche introdotte con il provvedimento del 25 giugno 2009 includono:

Modifiche alle Attribuzioni degli Amministratori di Sistema e dei Responsabili:

È stata aggiunta la possibilità che anche i responsabili del trattamento possano essere coinvolti nell’attuazione delle prescrizioni previste per gli amministratori di sistema.
Sono state apportate modifiche specifiche ai punti del provvedimento originale, tra cui l’eliminazione di alcune prescrizioni e l’aggiunta di nuove disposizioni per chiarire e ampliare le responsabilità degli amministratori di sistema e dei responsabili del trattamento

Proroga dei Termini per l’Adempimento:

I termini per l’adempimento delle prescrizioni modificate e integrate sono stati prorogati al 15 dicembre 2009. Questa proroga aveva lo scopo di fornire ai titolari dei trattamenti e agli amministratori di sistema un tempo aggiuntivo per adeguarsi alle nuove disposizioni

Consultazione Pubblica e Contributi:

Prima dell’adozione delle modifiche, è stata attivata una consultazione pubblica, durante la quale sono stati raccolti contributi sia da singoli titolari del trattamento sia da associazioni rappresentative di categoria. Questi contributi hanno giocato un ruolo importante nell’elaborazione delle modifiche finali al provvedimento

Cambiamenti Specifici alle Prescrizioni:

Tra le modifiche specifiche, si segnala l’aggiunta di un punto che dispone l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lettere d) ed e), nell’ambito della designazione del responsabile da parte del titolare del trattamento, anche tramite opportune clausole contrattuali

Queste modifiche hanno avuto l’obiettivo di rendere più chiare e applicabili le prescrizioni relative agli amministratori di sistema, migliorando la sicurezza dei trattamenti effettuati con strumenti elettronici e garantendo una maggiore protezione dei dati personali

Provvedimento “Amministratori di sistema” del 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)

Risposte alle domande più frequenti (FAQ) *

1) Cosa deve intendersi per “amministratore di sistema”?
In assenza di definizioni normative e tecniche condivise, nell´ambito del provvedimento del Garante l´amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Il Garante non ha inteso equiparare gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, con gli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.

Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell´atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

2) Cosa vuol dire la locuzione “Qualora l´attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
I titolari sono tenuti a instaurare un regime di conoscibilità dell´identità degli amministratori di sistema, quale forma di trasparenza interna all´organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un´organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell´ambito dell´organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti (in questo senso il riferimento nel testo del provvedimento all´”anche indirettamente…”).

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell´ambito applicativo del provvedimento?
Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d´impresa, non si applicheranno le previsioni relative alla verifica delle attività dell´amministratore né la tenuta del log degli accessi informatici.

4) Relativamente all´obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
Si, anche i client, intesi come “postazioni di lavoro informatizzate”, sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS.

Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l´uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità.

Sarà comunque con valutazione del titolare che dovrà essere considerata l´idoneità degli strumenti disponibili oppure l´adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l´utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell´integrità delle registrazioni.

5) Cosa si intende per operato dell´amministratore di sistema soggetto a controllo almeno annuale?
È da sottoporre a verifica l´attività svolta dall´amministratore di sistema nell´esercizio delle sue funzioni. Va verificato che le attività svolte dall´amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

6) Chiarire i casi di esclusione dall´obbligo di adempiere al provvedimento.
Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).

7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all´ADS? [Rif. comma 2, lettera d]
Il provvedimento prevede che all´atto della designazione di un amministratore di sistema, venga fatta “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l´attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell´art. 29 del Codice riguardante i responsabili del trattamento.

8) Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
No, è sufficiente specificare l´ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.

9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…) [Rif. comma 2, lettera f]
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all´atto dell´accesso o tentativo di accesso da parte di un amministratore di sistema o all´atto della sua disconnessione nell´ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.

Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo “username” utilizzato, alla data e all´ora dell´evento (timestamp), una descrizione dell´evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).

10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all´access log? [Rif. comma 2, lettera f]
Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un´estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS.

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L´adeguatezza rispetto allo scopo della verifica deve prevedere un´analisi dei rischi?
La caratteristica di completezza è riferita all´insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L´analisi dei rischi aiuta a valutare l´adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.

12) Come va interpretata la caratteristica di inalterabilità dei log?
Caratteristiche di mantenimento dell´integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l´eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

È ben noto che il problema dell´attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell´uso di un sistema informativo, la generazione del log degli “accessi” (login) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.

13) Si individuano livelli di robustezza specifici per la garanzia della integrità?
No. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14).

14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l´adeguatezza?
Quelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e), del dispositivo. L´adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell´organizzazione.

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l´accesso o anche le attività eseguite?
Il provvedimento non chiede in alcun modo che vengano registrati dati sull´attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11.

16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L´analisi dei log può essere compresa tra i criteri di valutazione dell´operato degli amministratori di sistema.

17) Cosa si intende per “consultazione in chiaro”?
Il riferimento in premessa (par. 1 “Considerazioni preliminari”) è alla criticità di mansioni che comportino la potenzialità di violazione del dato personale anche in condizioni in cui ne sia esclusa la conoscibilità, come può avvenire, per esempio, nel caso della cifratura dei dati.

18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
Si.

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.

20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali? [Rif. comma 2, lettera a]
No. Il riferimento alle caratteristiche da prendere in considerazione, al comma 2, lettera a), del dispositivo, è all´esperienza, alla capacità e all´affidabilità del soggetto designato. Si tratta quindi di qualità tecniche, professionali e di condotta, non di requisiti morali.

21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?
Si tratta del minimo insieme di dati identificativi utili a individuare il soggetto nell´ambito dell´organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza.

22) È corretto affermare che l´accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l´accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
Si. L´accesso applicativo non è compreso tra le caratteristiche tipiche dell´amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione.

23) Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.
Il provvedimento si rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano al più una responsabilità di trattamento (secondo il Codice italiano), e sono quindi esclusi dall´ambito applicativo del provvedimento.

24) Si possono ritenere esclusi i trattamenti relativi all´ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell´autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali ecc…).
Tali trattamenti possono considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, esclusi dall´ambito applicativo del provvedimento.

L’abrogazione dell’art. 154 del Codice della Privacy

L’articolo 154 del Codice della Privacy italiano è stato abrogato nell’ambito di un processo di adeguamento della normativa nazionale al Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Il GDPR ha introdotto un quadro normativo più stringente e dettagliato per la protezione dei dati personali, rendendo in parte superflue alcune disposizioni nazionali preesistenti.

In particolare, l’abrogazione dell’articolo 154 è stata parte di una più ampia riforma che ha visto l’introduzione di nuovi articoli, come il 2-ter e il 2-sexies, nel D.Lgs. 196/2003, noto come Codice della Privacy. Queste modifiche hanno avuto l’obiettivo di allineare la legislazione italiana alle disposizioni del GDPR e di semplificare il quadro normativo per i trattamenti a rischio elevato, eliminando il potere del Garante di adottare prescrizioni generali per tali trattamenti

Il processo di abrogazione e modifica delle norme è stato guidato dalla necessità di garantire un elevato livello di protezione dei dati personali in tutta l’Unione Europea e di fornire certezza giuridica e operativa sia per le persone fisiche che per gli operatori economici e le autorità pubbliche[3]. Inoltre, le modifiche hanno cercato di ridurre l’onere normativo per le imprese, in particolare per le piccole e medie imprese, liberi professionisti e artigiani, semplificando il quadro sanzionatorio e le misure di sicurezza previste dal Codice

Il decreto legislativo n. 101/2018 rappresenta un punto di svolta nell’ambito della protezione dei dati personali in Italia, ponendo le basi per un allineamento con il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea.

Questo decreto, insieme a una serie di comunicazioni interpretative fornite dal Garante per la Protezione dei Dati Personali, mira a chiarire due questioni fondamentali emerse con l’introduzione del GDPR: il destino dei precedenti provvedimenti del Garante e le modalità di enforcement del regolamento stesso.

Secondo l’articolo 22, comma 4, del decreto, a partire dal 25 maggio 2018, i provvedimenti del Garante devono essere interpretati alla luce del GDPR e continuano ad essere applicabili solo se risultano compatibili con il regolamento europeo.

Questo implica un compito arduo per gli interpreti, che dovranno determinare quali provvedimenti rimangono validi e applicabili. Si tratta di una sfida significativa, specialmente per quei provvedimenti che non incorporano disposizioni dell’UE, ma derivano esclusivamente dalla normativa interna, come quelli relativi agli amministratori di sistema.

Questa situazione solleva una serie di interrogativi sull’interazione tra le norme nazionali preesistenti e il quadro normativo europeo introdotto dal GDPR. Gli interpreti, con l’ausilio sperato del Garante, si troveranno a navigare in un contesto complesso, cercando di armonizzare le disposizioni nazionali con i principi e le direttive stabilite a livello europeo.

La risoluzione di questa problematica è cruciale non solo per garantire la coerenza e l’efficacia della protezione dei dati personali in Italia ma anche per assicurare che le pratiche di enforcement siano allineate con gli standard europei, promuovendo così un approccio uniforme alla privacy e alla protezione dei dati nell’intera Unione Europea.

La sopravvivenza dei provvedimenti del Garante?

Nell’ambito della protezione dei dati personali, l’autorità garante ha il compito non solo di vigilare sull’applicazione delle norme ma anche di supportare Titolari e Responsabili del trattamento dei dati nel loro impegno a garantire la sicurezza delle informazioni. In questo contesto, l’adozione di linee guida o buone pratiche di settore emerge come strategia fondamentale per facilitare l’identificazione di standard minimi di sicurezza, rendendo più accessibile per le organizzazioni la conformità alle normative vigenti.

Le misure di sicurezza precedentemente individuate dal Garante, come quelle delineate nel provvedimento del 27 novembre 2008 riguardante gli amministratori di sistema, offrono un punto di partenza prezioso. Questi provvedimenti, sebbene possano perdere il loro carattere vincolante in seguito all’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), non perdono di valore. Al contrario, si trasformano in parametri di riferimento essenziali per guidare l’analisi dei rischi e la selezione delle misure di rimedio più adeguate.

Questa evoluzione sottolinea un cambiamento significativo nell’approccio alla sicurezza dei dati: da un modello basato su prescrizioni dettagliate e vincolanti, si passa a un sistema più flessibile, incentrato sulla valutazione del rischio e sull’adattabilità delle misure di sicurezza alle specifiche esigenze di ogni organizzazione. Questo approccio permette una maggiore personalizzazione delle strategie di protezione dei dati, garantendo al contempo che queste siano sempre allineate con le migliori pratiche del settore e con le ultime evoluzioni normative.

In conclusione, mentre il panorama normativo continua a evolvere, l’esperienza accumulata e le pratiche consolidate rappresentano una risorsa inestimabile per le organizzazioni che navigano le complessità della protezione dei dati. Le linee guida e le buone pratiche offerte dall’autorità garante diventano così strumenti chiave per assicurare che la sicurezza dei dati personali rimanga sempre una priorità assoluta.