Privacy ed Amministratori di sistema: prorogati i termini
febbraio 23rd, 2009 Pubblicato in PrivacyCome era nell’aria, sono stati prorogati i termini per l’adeguamento a quanto disposto dal provvedimento del Garante Privacy del 27 novembre 2008 relativo agli amministratori di sistema.
La nuova scadenza è stata fissata per il 30 giugno. Qui il link all’annuncio sul sito del Garante.
Sull’argomento delle novità che riguardano gli Amministratori di sistema, AIP (Associazione Informatici Professionisti) organizza un incontro di studi dal titolo “Amministratore di sistema e privacy: obblighi tecnici e amministrativi per una figura professionale rivalutata” per il giorno 13 marzo 2009.
In particolare saranno esaminati i dettagli tecnici e organizzativi di quanto necessario per ottemperare ai requisiti elencati nel provvedimento del Garante Privacy nonché le implicazioni legali e le responsabilità sia del Titolare del trattamento che dell’Amministratore di sistema, oltre alle tecniche da impiegare per adempiere in modo corretto alla registrazione dei log.
Ecco un breve riassunto delle novità introdotte.
- Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
- Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
- Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.
- Valutazione professionale
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Forse ti interessa leggere anche: soluzione-open-source-per-log-amministratori-di-sistema
20 Risposte a “Privacy ed Amministratori di sistema: prorogati i termini”
Scritto da Della Cerra Luigi il mar 19, 2009
In merito alla valutazione personale l’amministratore del sistema deve essere professionalmente valido o può anche essere la persona addetta alla verifica del backup andato a buon fine o se il server ha aggiornato l’antivirus ?
Scritto da Paolo Giardini il mar 20, 2009
Il discorso della nomina dell’Amministratore di sistema implica prima la verifica della attività da assegnare al candidato in merito al livello di rischio che tale attività comporta e successivamente la scelta del candidato che meglio risponda alle esigenze riscontrate.
Provo a spiegarmi meglio con un esempio.
Un dipendente, non tecnico informatico, è stato incaricato di cambiare le cassette del backup e verificare la riuscita dell’operazione.
La mancanza di esperienza e di conoscenze tecniche, ha fatto si che per mesi il backup non fosse effettivamente effettuato in quanto la persona non si era accorta che il dispositivo di backup esterno non funzionava ed il relativo messaggio di warning era stato ignorato anche perché non era particolarmente esplicativo.
In questo caso è evidente che la nomina sarebbe stata incauta per il danno che l’imperizia mostrata avrebbe potuto cagionare.
Scritto da Alessia Picca il mar 25, 2009
Buongiorno,avrei bisogno di una delucidazione al riguardo.
Sono una segretaria commerciale presso un’ agenzia di legnami, una piccola azienda di meno di 15 persone. Proprio ieri mi hanno chiesto di firmare la lettera di incarico di amministratore di sistema e quella di incarico per il trattamento dati del DPS secondo D.L.vo N. 196 del 30/06/2003. Premetto di avere una seppur minima conoscenza in materia informatica senza però avere i titoli. Per cui mi chiedo quali siano i rischi del mio nuovo incarico dato il fatto che non percepisco alcun aumento per questo, e per di più di potrebbero esserci sanzioni amministrative e penali che non so precisamente se sono a carico del responsabile o del titolare dell’ azienda. In attesa di VS chiarimenti. Cordiali Saluti
Scritto da Paolo Giardini il apr 2, 2009
Salve.
La lettera di incarico per il trattamento dati è “solo” una formalizzazione di quanto di fatto sta già facendo, ovvero gestire (trattare) i dati personali necessari allo svolgimento della sua funzione aziendale.
Per quanto riguarda la nomina ad “amministratori di sistema” cerco di semplificare una risposta che altrimenti sarebbe assai complessa.
Al titolare spetta il compito di valutare “esperienza, capacità, e affidabilità” della persona.
In difetto, ricade nel caso di “culpa in eligendo”, ovvero l’affidare un incarico che comporta rischi e responsabilità ad una persona non in grado di svolgerlo in modo consono, specialmente in presenza di norme che specificano bene come e cosa debba essere fatto, è senza dubbio una violazione della legge che ricade sul titolare.
Questo ovviamente non solleva l’amministratore di rete dalle proprie responsabilità in caso di dolo o comunque di proprie colpe.
La lettera di nomina ad amministratore di sistema deve contenere l’elenco dei compiti e delle mansioni affidate alla persona nominata, le consiglio di verificare attentamente se quanto riportato corrisponda effettivamente alle sue mansioni e competenze, e se del caso, fare notare la cosa al titolare affinché apporti le opportune correzioni.
Ricordo infine che la nomina ad amministratore di sistema non è una semplice pratica burocratica da sbrigare “perché deve essere fatto” ma comporta una reale verifica di chi possa “mettere le mani sui dati” e comprende, forse in misura anche maggiore di quanto non sia per lei, il tecnico, magari esterno, che fa assistenza ai computer, alla rete, installa e manutiene il programma di contabilità o di gestione del personale, ecc.
Scritto da carlo il lug 22, 2009
Salve,
avrei bisogno di un chiarimento riguardo la lettera di incarico. Di recente sono stato designato “Amministratore di sistema”, effettivamente metto già mano sui dati.
In caso di problemi, le conseguenze legali/amministrative in cui incorro come amministratore sono gravi?
Secondo il contratto di lavoro sottoscritto NON posso avere “autonomia e responsabilità proprie”, ma solamente “autonomia e responsabilità secondo metodologie definite”
devo, quindi, rifiutarmi di firmare la lettera di incarico?
Cordiali saluti
Scritto da Paolo Giardini il lug 22, 2009
Salve.
Se cè’ dolo, ovviamente ricorrono i recenti inasprimenti del codice penale per chi abusa del ruolo di “operatore di sistema”. Per quanto riguarda la parte prettamente relativa al trattamento di dati personali, la lettera di incarico come “amministratore di sistema” deve contenere o comunque le devono essere comunicati i compiti e le responsabilità assegnate. Per dirla con le parole del provvedimento del Garante:
il che significa in pratica che i suoi compiti devono essere definiti a priori.
In ultimo, il ruolo di amministratore di sistema, ancorché non formalizzato secondo quanto dettato dal provvedimento in questione, comporta delle responsabilità e questo è ovvio ma non appesantisce la situazione. Il provvedimento, piuttosto che essere un colpo basso al cosiddetto “sistemista” è una tiratina d’orecchie ai titolari di trattamento per ricordare loro che devono prendere sul serio le loro responsabilità in merito ai dati personali trattati.
Suggerisco inoltre di valutare bene se si rientri o meno nel campo di applicazione, dato che esistono numerose esenzioni nelle quali in pratica possono ricadere un gran numero di aziende.
.
Scritto da carlo il lug 23, 2009
Grazie mille
Scritto da filippo il ott 17, 2009
Salve,
sono un responsabile informatico per una azienda metalmeccanica leader nel suo settore, con più di 200 dipendenti. A breve riceverò la nomina per iscritto ad amministratore informatico, come prevede il provvedimento del garante. Contestualmente a questa nomina, verrò incaricato come responsabile della privacy, e cioè trattamento dati e documento programmatico della sicurezza. Volevo chiedere viste le responsabilità cadute a pioggia, se a questo debba contestualmente pareggiarsi un aumento salariale, e se si, quanto posso chiedere indicativamente in una eventuale trattativa con la mia direzione, un range di stipendio secondo lei attendibile in base ai nuovi incarichi.
Grazie per una eventuale risposta.
Saluti
Scritto da Paolo Giardini il ott 22, 2009
Temo di non essere la persona indicata per rispondere al suo quesito.
In linea di massima, ma è un mio pensiero, Lei ha il diritto di richiedere un adeguamento del compenso a fronte delle maggiori responsabilità cui dovrà attendere. Potrebbe forse richiedere un passaggio di qualifica?
Scritto da carlo il nov 27, 2009
Buongiorno,
sono un responsabile informato di piu’ di una ventina di ditte che seguo da diversi anni come sistemista esterno.
A breve riceverò la nomina per iscritto ad amministratore informatico, come prevede il provvedimento del garante.
In tutte le ditte che seguo sono stato identificato come persona competente e adatta a tale ruolo.
Volevo quindi chiedere se l’incarico che potro’ accettare puo’ crearmi dei conflitti con altre aziende che seguo e mi debba quindi tutelare specificando dei contratti specifichi per i tempi e modi di intervento tecnico da effettuare, es disaster recovery in caso di guasto.
Saluti
Scritto da Paolo Giardini il nov 28, 2009
Salve.
Non vedo motivi che possano creare conflitti. Certo un contratto ben scritto ed una lettera di incarico che specifichi bene compiti e responsabilità sono una cosa indispensabile.
Per la questione dei tempi di ripristino, questi sono specificati dalla normativa, in particolare dal punto 23 dell’allegato B nel caso di trattamento dati sensibili o giudiziari (7 giorni). E’ anche da tenere presente il limite di 15 giorni fissato dall’art. 146 del D.lgs 196/2003 per il riscontro all’interessato che ci obbliga ad effettuare il ripristino dei dati in tempi congrui per la soddisfazione delle richieste effettuate ai sensi dell’art. 8 (esercizio dei diritti dell’interessato).
Scritto da Iarno il dic 5, 2009
Salve,
come consulente informatico dipendente presso un azienda di servizi, con una o più nomine ad amministratore di sistema richieste dai nostri clienti, potrebbe essere necessaria un maggiore tutela? Ad esempio una copertura assicurativa ? Se escludiamo il dolo, a che rischi posso andare incontro ? E bene preoccuparsi di eventuali cause legali dove posso essere coinvolto direttamente?
Grazie per una eventuale risposta.
Saluti
Scritto da Paolo Giardini il dic 5, 2009
Se ho inteso bene la situazione, Lei è dipendente di una azienda che offre servizi informatici a terzi. In questo caso non sembra richiesta alcuna nomina “ad personam” dell’Ads. La ditta esterna deve essere nominata “responsabile del trattamento in outsourcing” e deve provvedere a consegnare al Titolare del trattamento l’elenco aggiornato dei propri incaricati delle assistenze tecniche, tenendo presente che “non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.” (FAQ Garante).
Per quanto riguarda la responsabilità, a prescindere dalla nomina ad AdS, questa è sempre stata regolata dall’art. 2104 c.c. (diligenza del prestatore d’opera). Sull’opportunità di una copertura assicurativa mi trova d’accordo, ma questa è comunque una valutazione soggettiva e non dipendente da nomina o meno ad AdS, dato che questo provvedimento non introduce alcuna novità nell’ambito dei contratti di prestazione d’opera. Aggiungo che a doversi maggiormente preoccupare di eventuali problematiche potrebbe essere il Titolare, chiamato ad effettuare nomine solo previa attenta valutazione delle caratteristiche di competenza, capacita. affidabilità del candidato, nomina che se incautamente effettuata, potrebbe portare, in caso di problemi, ad una condanna per culpa in eligendo e culpa in vigilando.
Scritto da Daniela il gen 13, 2010
Ciao, mi chiamo Daniela e da qualche anno lavoro in un ente pubblico nel settore informatico. Ho scoperto recentemente di essere stata nominata Amministratore di Sistema, vorrei sapere se questa nomina doveva essermi comunicata personalmente, ad esempio tramite lettera. Inoltre nell’atto di nomina, accanto al mio nominativo, non è presente un’elencazione analitica degli ambiti di operatività a me consentitti, ma la dicitura “funzioni: gestione apparati e servizi di networking”, questo è corretto? In effetti sono un po’ preoccupata e non capisco se questa nomina è solo un atto dovuto e buroscratico che doveva fare l’ente, oppure se la nomina ad Amministratore di Sistema comporta rispetto al mio lavoro delle assunzioni di responsabilità che prima della nomina probabilmente non avevo.
Grazie Daniela
Scritto da Paolo Giardini il gen 15, 2010
Ciao Daniela.
“Aver scoperto” significa che non ti è stato comunicato nulla ed hai solo trovato (come?) un elenco con il tuo nome e l’incarico?
La nomina è, appunto “nominativa” come indicato nel Provvedimento.
Anche se si può dire che non esista un obbligo di singole lettere, la prassi comune è comunque di redigere un atto formale con la nomina, i riferimenti nomativi, i compiti assegnati (p.e. backup, gestione firewall, manutenzione databasa,…), insomma ci si potrebbe aspettare qualcosa di più da un ente pubblico.
Per quanto riguarda le responsabilità, come ho scritto in risposta ai precedenti commenti, non cambia nulla rispetto agli obblighi del dipendente o del prestatore d’opera nei confronti del datore di lavoro (fedeltà, diligenza, ecc.) come previsto dal codice civile, dal Codice in materia di protezione dati personali, e, ovviamente, dal codice penale in materia di reati informatici.
Facci sapere
Scritto da Carlo Volati il feb 19, 2010
Salve,
sono Carlo Volati e faccio il sistemista e curo l’assistenza tecnica presso una cinquantina di studi notarili. La mia situazione della clientela fà si che una struttura noraile abbia come media una decina di impiegate, il Notaio è anche il titolare del trattamento, nessun dipendende può avere la nomina ad ADS perchè non ne ha le capacità, io come outsourcing mi faccio un bel contratto ad hoc dove non mi prendo la nomina di Ads per l’art 30, ma quella di manutentore art. 29 e 28. Questo ne consegue che i miei clienti non daranno nomina di ADS poichè non sono obbligati a farlo non potendolo avere internamente, ma solo di rapporto contrattuale con i fornitori di assistenza Hardware e Software. Fondamentale è, come descritto prima, che ci sia un contratto tra le parti fatto e rispettato ad hoc.
Scritto da Carlo Volati il feb 25, 2010
Mi piacerebbe avere da Paolo Giardini una opinione sulla mia cosiderazione.
Saluti
Carlo Volati
Scritto da Paolo Giardini il feb 28, 2010
in risposta a Carlo Volati
In generale posso essere d’accordo, ma vorrei fare alcune puntualizzazioni.
La prima, la più importante, è che non si deve dimenticare la definizione di AdS data nel provvedimento dal Garante. L’AdS non è soltanto chi effettua manutenzione dei sistemi ma anche chi ha responsabilità, prendetelo tra virgolette, minori dal punto di vista tecnico come ad esempio gestire i backup; cosa che non richiede particolari competenze tecniche ma che comporta responsabilità in relazione al trattamento di dati personali. Quindi un AdS potrebbe essere nominato in ragione dell’attività svolta anche senza essere un tecnico.
La seconda annotazione è questa: non capisco cosa intendi quando parli di nomina ad Ads per l’art. 30 o manutentore art. 28 e 29. O forse si, ma non è corretto quanto dici.
AdS può essere anche un esterno, nel qual caso non viene nominato dal titolare ma è compito dell’azienda esterna effettuare la nomina e comunicare i nominativi degli Ads al titolare. E di certo un Ads non viene nominato in base all’art.30, articolo riferito agli incaricati del trattamento.
Sono comunuqe assolutamente d’accordo quando dici che è essenziale un contratto fatto bene che comprenda doveri e modalità di espletamento in maniera chiara e completa.
Scritto da Xfilesit il apr 2, 2010
In relazione a:
La nomina è, appunto “nominativa” come indicato nel Provvedimento.
4.2 Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
In una azienda di un mio collega la nomina a ADS è stata fatta firmare individualmente ma reca come nominativo non una singola persona ma quattro persone designati come ADS, questo non penso sia regolare anche perche a queste persono sono state attrubuite le stesse funzione che nella realtà operativa non fanno.
Grazie
Scritto da Maura il apr 17, 2010
Ciao, mi chiamo Maura e da 10 anni lavoro in un piccolo Comune nel settore LL.PP. Urbanistica ed Ambiente. Mi è stata notificata in data 13 aprile 2010 la nomina Amministratore di Sistema con le seguenti manisioni 1) custodia pasword 2) predisporre e rendere funzionali copie backup 3) predisposizione sistemi idonei alla registrazione accessi logici.
Premesso che io non ho nessuna preparazione specifica a livello informatico ma che semplicemente per passione personale conosco forse più di un utente medio in materia e pertanto in tal senso ho in alcune occasioni aiutato colleghi con problemi a livello hardware e software (ovvimente a titolo personale senza compenso). Premetto che si, in effetti io attualmante copio i backup su dvd (ma solo perchè sono l’unica che lo sa fare sui 15 dipendenti) ma non ho idea di come si ripristini ad esempio in caso di recovery (non avendolo mai fatto), non credo di aver problemi nel conservare le password ma non ho idea di cosa fare per traccire i log.
Ho fatto presente sia al sindaco che al segretario questo problema, ma mi dicono che comunque qualcuno lo dovevano nominare.
Vorrei sapere se questa nomina può essere rifiutata da parte mia ho se quantomento sarebbe utile mettere per iscritto le precisazioni di cui sopra.
Grazie Maura