Maggiore controllo per gli amministratori di sistema
Il Garante per la privacy in un provvedimento del 27 novembre 2008 (pubblicato sulla G.U. n. 300 del 24 dicembre 2008) ricorda quanto la figura di amministratore di sistema sia importante in materia di privacy e sicurezza dei dati.
Questa figura, spesso esterna nelle medie e piccole imprese, ha accesso a tutti dati dell’azienda, ne ha il controllo senza sempre essere a conoscenza del significato dei dati manipolati e spesso l’azienda non lo controlla e non sa neanche in che cosa consisti il suo operato.
Il Garante fa inoltre riferimento ad alcuni gravi casi verificatisi negli ultimi anni o accertati durante ispezioni effettuate.
Per tutti questi motivi, il Garante fa obbligo a tutte le aziende (esclusi i trattamenti di dati a fini amministrativi e contabili) entro 4 mesi (quindi entro il 24 aprile 2009) di mettere in atto una serie di misure per ottenere un maggiore controllo degli amministratori di sistema.
Nomina di persone esperte
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza
Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
Elenco degli amministratori di sistema
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.
Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
» leggere il provvedimento del 27 novembre 2008