Commenti a: Privacy ed Amministratori di sistema: prorogati i termini

Di: Maura

Maura — Sat, 17 Apr 2010 07:53:19 +0000

Ciao, mi chiamo Maura e da 10 anni lavoro in un piccolo Comune nel settore LL.PP. Urbanistica ed Ambiente. Mi è stata notificata in data 13 aprile 2010 la nomina Amministratore di Sistema con le seguenti manisioni 1) custodia pasword 2) predisporre e rendere funzionali copie backup 3) predisposizione sistemi idonei alla registrazione accessi logici.
Premesso che io non ho nessuna preparazione specifica a livello informatico ma che semplicemente per passione personale conosco forse più di un utente medio in materia e pertanto in tal senso ho in alcune occasioni aiutato colleghi con problemi a livello hardware e software (ovvimente a titolo personale senza compenso). Premetto che si, in effetti io attualmante copio i backup su dvd (ma solo perchè sono l’unica che lo sa fare sui 15 dipendenti) ma non ho idea di come si ripristini ad esempio in caso di recovery (non avendolo mai fatto), non credo di aver problemi nel conservare le password ma non ho idea di cosa fare per traccire i log.
Ho fatto presente sia al sindaco che al segretario questo problema, ma mi dicono che comunque qualcuno lo dovevano nominare.
Vorrei sapere se questa nomina può essere rifiutata da parte mia ho se quantomento sarebbe utile mettere per iscritto le precisazioni di cui sopra.
Grazie Maura

Di: Xfilesit

Xfilesit — Fri, 02 Apr 2010 15:25:55 +0000

In relazione a:
La nomina è, appunto “nominativa” come indicato nel Provvedimento.

4.2 Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

In una azienda di un mio collega la nomina a ADS è stata fatta firmare individualmente ma reca come nominativo non una singola persona ma quattro persone designati come ADS, questo non penso sia regolare anche perche a queste persono sono state attrubuite le stesse funzione che nella realtà operativa non fanno.
Grazie

Di: Paolo Giardini

Paolo Giardini — Sun, 28 Feb 2010 00:52:28 +0000

in risposta a Carlo Volati
In generale posso essere d’accordo, ma vorrei fare alcune puntualizzazioni.
La prima, la più importante, è che non si deve dimenticare la definizione di AdS data nel provvedimento dal Garante. L’AdS non è soltanto chi effettua manutenzione dei sistemi ma anche chi ha responsabilità, prendetelo tra virgolette, minori dal punto di vista tecnico come ad esempio gestire i backup; cosa che non richiede particolari competenze tecniche ma che comporta responsabilità in relazione al trattamento di dati personali. Quindi un AdS potrebbe essere nominato in ragione dell’attività svolta anche senza essere un tecnico.
La seconda annotazione è questa: non capisco cosa intendi quando parli di nomina ad Ads per l’art. 30 o manutentore art. 28 e 29. O forse si, ma non è corretto quanto dici.
AdS può essere anche un esterno, nel qual caso non viene nominato dal titolare ma è compito dell’azienda esterna effettuare la nomina e comunicare i nominativi degli Ads al titolare. E di certo un Ads non viene nominato in base all’art.30, articolo riferito agli incaricati del trattamento.
Sono comunuqe assolutamente d’accordo quando dici che è essenziale un contratto fatto bene che comprenda doveri e modalità di espletamento in maniera chiara e completa.

Di: Carlo Volati

Carlo Volati — Thu, 25 Feb 2010 11:17:46 +0000

Mi piacerebbe avere da Paolo Giardini una opinione sulla mia cosiderazione.

Saluti
Carlo Volati

Di: Carlo Volati

Carlo Volati — Fri, 19 Feb 2010 12:01:08 +0000

Salve,
sono Carlo Volati e faccio il sistemista e curo l’assistenza tecnica presso una cinquantina di studi notarili. La mia situazione della clientela fà si che una struttura noraile abbia come media una decina di impiegate, il Notaio è anche il titolare del trattamento, nessun dipendende può avere la nomina ad ADS perchè non ne ha le capacità, io come outsourcing mi faccio un bel contratto ad hoc dove non mi prendo la nomina di Ads per l’art 30, ma quella di manutentore art. 29 e 28. Questo ne consegue che i miei clienti non daranno nomina di ADS poichè non sono obbligati a farlo non potendolo avere internamente, ma solo di rapporto contrattuale con i fornitori di assistenza Hardware e Software. Fondamentale è, come descritto prima, che ci sia un contratto tra le parti fatto e rispettato ad hoc.

Di: Paolo Giardini

Paolo Giardini — Fri, 15 Jan 2010 10:26:35 +0000

Ciao Daniela.
“Aver scoperto” significa che non ti è stato comunicato nulla ed hai solo trovato (come?) un elenco con il tuo nome e l’incarico?
La nomina è, appunto “nominativa” come indicato nel Provvedimento.

4.2 Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

Anche se si può dire che non esista un obbligo di singole lettere, la prassi comune è comunque di redigere un atto formale con la nomina, i riferimenti nomativi, i compiti assegnati (p.e. backup, gestione firewall, manutenzione databasa,…), insomma ci si potrebbe aspettare qualcosa di più da un ente pubblico.
Per quanto riguarda le responsabilità, come ho scritto in risposta ai precedenti commenti, non cambia nulla rispetto agli obblighi del dipendente o del prestatore d’opera nei confronti del datore di lavoro (fedeltà, diligenza, ecc.) come previsto dal codice civile, dal Codice in materia di protezione dati personali, e, ovviamente, dal codice penale in materia di reati informatici.
Facci sapere

Di: Daniela

Daniela — Wed, 13 Jan 2010 16:02:13 +0000

Ciao, mi chiamo Daniela e da qualche anno lavoro in un ente pubblico nel settore informatico. Ho scoperto recentemente di essere stata nominata Amministratore di Sistema, vorrei sapere se questa nomina doveva essermi comunicata personalmente, ad esempio tramite lettera. Inoltre nell’atto di nomina, accanto al mio nominativo, non è presente un’elencazione analitica degli ambiti di operatività a me consentitti, ma la dicitura “funzioni: gestione apparati e servizi di networking”, questo è corretto? In effetti sono un po’ preoccupata e non capisco se questa nomina è solo un atto dovuto e buroscratico che doveva fare l’ente, oppure se la nomina ad Amministratore di Sistema comporta rispetto al mio lavoro delle assunzioni di responsabilità che prima della nomina probabilmente non avevo.

Grazie Daniela

Di: Paolo Giardini

Paolo Giardini — Sat, 05 Dec 2009 22:47:25 +0000

Se ho inteso bene la situazione, Lei è dipendente di una azienda che offre servizi informatici a terzi. In questo caso non sembra richiesta alcuna nomina “ad personam” dell’Ads. La ditta esterna deve essere nominata “responsabile del trattamento in outsourcing” e deve provvedere a consegnare al Titolare del trattamento l’elenco aggiornato dei propri incaricati delle assistenze tecniche, tenendo presente che “non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.” (FAQ Garante).
Per quanto riguarda la responsabilità, a prescindere dalla nomina ad AdS, questa è sempre stata regolata dall’art. 2104 c.c. (diligenza del prestatore d’opera). Sull’opportunità di una copertura assicurativa mi trova d’accordo, ma questa è comunque una valutazione soggettiva e non dipendente da nomina o meno ad AdS, dato che questo provvedimento non introduce alcuna novità nell’ambito dei contratti di prestazione d’opera. Aggiungo che a doversi maggiormente preoccupare di eventuali problematiche potrebbe essere il Titolare, chiamato ad effettuare nomine solo previa attenta valutazione delle caratteristiche di competenza, capacita. affidabilità del candidato, nomina che se incautamente effettuata, potrebbe portare, in caso di problemi, ad una condanna per culpa in eligendo e culpa in vigilando.

Di: Iarno

Iarno — Sat, 05 Dec 2009 19:55:34 +0000

Salve,
come consulente informatico dipendente presso un azienda di servizi, con una o più nomine ad amministratore di sistema richieste dai nostri clienti, potrebbe essere necessaria un maggiore tutela? Ad esempio una copertura assicurativa ? Se escludiamo il dolo, a che rischi posso andare incontro ? E bene preoccuparsi di eventuali cause legali dove posso essere coinvolto direttamente?
Grazie per una eventuale risposta.
Saluti

Di: Paolo Giardini

Paolo Giardini — Sat, 28 Nov 2009 10:03:25 +0000

Salve.
Non vedo motivi che possano creare conflitti. Certo un contratto ben scritto ed una lettera di incarico che specifichi bene compiti e responsabilità sono una cosa indispensabile.
Per la questione dei tempi di ripristino, questi sono specificati dalla normativa, in particolare dal punto 23 dell’allegato B nel caso di trattamento dati sensibili o giudiziari (7 giorni). E’ anche da tenere presente il limite di 15 giorni fissato dall’art. 146 del D.lgs 196/2003 per il riscontro all’interessato che ci obbliga ad effettuare il ripristino dei dati in tempi congrui per la soddisfazione delle richieste effettuate ai sensi dell’art. 8 (esercizio dei diritti dell’interessato).