Privacy e Misure di Sicurezza
Gli "amministratori di sistema" sono figure essenziali per la sicurezza nelle aziende e per la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che posso transitare nelle reti aziendali.
Ad essi viene affidato spesso anche il compito di amministrare accuratamente i sistemi informatici delle azienda o delle pubbliche amministrazioni. Per questo il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha deciso l'adozione di specifiche misure tecniche ed organizzative che agevolino lo svolgimento della verifica sull'attività da parte di chi ha la potestà delle banche dati e dei sistemi informatici.
Le ispezioni effettuate in questi anni dall'Autorità ha evidenziato in diversi casi una scarsa consapevolezza da parte di organizzazioni ,grandi e piccole, del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.
Le misure e le cautele dovranno essere messe in atto entro il 15 dicembre 2009 (grazie a due proroghe dei termini, annunciate il 23 febbraio e il 25 giugno 2009 dal Garante) da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
Adozione di sistemi di controllo che consentano la registrazione degli accessi che sono stati effettuati dagli amministratori di sistema ai sistemi dei personal e agli archivi elettronici.
Le registrazioni degli accessi devono comprendere i riferimenti temporali ( Data,Ora, Nominativo ) e la descrizione dell'evento che le ha generate e dovranno essere conservate per un congruo periodo, non inferiore a sei mesi.
Dovrà essere valutata la persona che ricopre il ruolo di amministratore di sistema sia sul piano dell'affidabilità che su quello dell'esperienza e dovrà garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Ad essi viene affidato spesso anche il compito di amministrare accuratamente i sistemi informatici delle azienda o delle pubbliche amministrazioni. Per questo il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha deciso l'adozione di specifiche misure tecniche ed organizzative che agevolino lo svolgimento della verifica sull'attività da parte di chi ha la potestà delle banche dati e dei sistemi informatici.
Le ispezioni effettuate in questi anni dall'Autorità ha evidenziato in diversi casi una scarsa consapevolezza da parte di organizzazioni ,grandi e piccole, del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.
Le misure e le cautele dovranno essere messe in atto entro il 15 dicembre 2009 (grazie a due proroghe dei termini, annunciate il 23 febbraio e il 25 giugno 2009 dal Garante) da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi che sono stati effettuati dagli amministratori di sistema ai sistemi dei personal e agli archivi elettronici.
Le registrazioni degli accessi devono comprendere i riferimenti temporali ( Data,Ora, Nominativo ) e la descrizione dell'evento che le ha generate e dovranno essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento ( Proprietari delle aziende o Responsabili Enti Pubblici ) sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.Elenco degli amministratori di sistema e loro caratteristiche
Ogni azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza ( DPS ) o in un documento interno (disponibile in caso di accertamenti da parte del Garante) tutti i dati degli amministratori di sistema e l'elenco delle funzioni loro attribuite.Dovrà essere valutata la persona che ricopre il ruolo di amministratore di sistema sia sul piano dell'affidabilità che su quello dell'esperienza e dovrà garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
