Privacy ed Amministratori di sistema: prorogati i termini

Privacy ed Amministratori di sistema: prorogati i termini

Come era nell’aria, sono stati prorogati i termini per l’adeguamento a quanto disposto dal provvedimento del Garante Privacy del 27 novembre 2008 relativo agli amministratori di sistema.
La nuova scadenza è stata fissata per il 30 giugno. Qui il link all’annuncio sul sito del Garante.
Sull’argomento delle novità che riguardano gli Amministratori di sistema,  AIP (Associazione Informatici Professionisti) organizza un incontro di studi dal titolo “Amministratore di sistema e privacy: obblighi tecnici e amministrativi per una figura professionale rivalutata” per il giorno 13 marzo 2009.

In particolare saranno esaminati i dettagli tecnici e organizzativi di quanto necessario per ottemperare ai requisiti  elencati nel provvedimento del Garante Privacy nonché le implicazioni legali e le responsabilità sia del Titolare del trattamento che dell’Amministratore di sistema, oltre alle tecniche da impiegare per adempiere in modo corretto alla registrazione dei log.

Ecco un breve riassunto delle novità introdotte.

  • Registrazione degli accessi

Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

  • Verifica della attività

Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

  • Elenco degli amministratori di sistema e loro caratteristiche

Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.

  • Valutazione professionale

Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

Forse ti interessa leggere anche: soluzione-open-source-per-log-amministratori-di-sistema

44 thoughts on “Privacy ed Amministratori di sistema: prorogati i termini

  1. Della Cerra Luigi

    In merito alla valutazione personale l’amministratore del sistema deve essere professionalmente valido o può anche essere la persona addetta alla verifica del backup andato a buon fine o se il server ha aggiornato l’antivirus ?

  2. Paolo Giardini Post author

    Il discorso della nomina dell’Amministratore di sistema implica prima la verifica della attività da assegnare al candidato in merito al livello di rischio che tale attività comporta e successivamente la scelta del candidato che meglio risponda alle esigenze riscontrate.
    Provo a spiegarmi meglio con un esempio.
    Un dipendente, non tecnico informatico, è stato incaricato di cambiare le cassette del backup e verificare la riuscita dell’operazione.
    La mancanza di esperienza e di conoscenze tecniche, ha fatto si che per mesi il backup non fosse effettivamente effettuato in quanto la persona non si era accorta che il dispositivo di backup esterno non funzionava ed il relativo messaggio di warning era stato ignorato anche perché non era particolarmente esplicativo.
    In questo caso è evidente che la nomina sarebbe stata incauta per il danno che l’imperizia mostrata avrebbe potuto cagionare.

  3. Alessia Picca

    Buongiorno,avrei bisogno di una delucidazione al riguardo.
    Sono una segretaria commerciale presso un’ agenzia di legnami, una piccola azienda di meno di 15 persone. Proprio ieri mi hanno chiesto di firmare la lettera di incarico di amministratore di sistema e quella di incarico per il trattamento dati del DPS secondo D.L.vo N. 196 del 30/06/2003. Premetto di avere una seppur minima conoscenza in materia informatica senza però avere i titoli. Per cui mi chiedo quali siano i rischi del mio nuovo incarico dato il fatto che non percepisco alcun aumento per questo, e per di più di potrebbero esserci sanzioni amministrative e penali che non so precisamente se sono a carico del responsabile o del titolare dell’ azienda. In attesa di VS chiarimenti. Cordiali Saluti

  4. Paolo Giardini Post author

    Salve.
    La lettera di incarico per il trattamento dati è “solo” una formalizzazione di quanto di fatto sta già facendo, ovvero gestire (trattare) i dati personali necessari allo svolgimento della sua funzione aziendale.
    Per quanto riguarda la nomina ad “amministratori di sistema” cerco di semplificare una risposta che altrimenti sarebbe assai complessa.
    Al titolare spetta il compito di valutare “esperienza, capacità, e affidabilità” della persona.
    In difetto, ricade nel caso di “culpa in eligendo”, ovvero l’affidare un incarico che comporta rischi e responsabilità ad una persona non in grado di svolgerlo in modo consono, specialmente in presenza di norme che specificano bene come e cosa debba essere fatto, è senza dubbio una violazione della legge che ricade sul titolare.
    Questo ovviamente non solleva l’amministratore di rete dalle proprie responsabilità in caso di dolo o comunque di proprie colpe.
    La lettera di nomina ad amministratore di sistema deve contenere l’elenco dei compiti e delle mansioni affidate alla persona nominata, le consiglio di verificare attentamente se quanto riportato corrisponda effettivamente alle sue mansioni e competenze, e se del caso, fare notare la cosa al titolare affinché apporti le opportune correzioni.
    Ricordo infine che la nomina ad amministratore di sistema non è una semplice pratica burocratica da sbrigare “perché deve essere fatto” ma comporta una reale verifica di chi possa “mettere le mani sui dati” e comprende, forse in misura anche maggiore di quanto non sia per lei, il tecnico, magari esterno, che fa assistenza ai computer, alla rete, installa e manutiene il programma di contabilità o di gestione del personale, ecc.

  5. carlo

    Salve,
    avrei bisogno di un chiarimento riguardo la lettera di incarico. Di recente sono stato designato “Amministratore di sistema”, effettivamente metto già mano sui dati.
    In caso di problemi, le conseguenze legali/amministrative in cui incorro come amministratore sono gravi?
    Secondo il contratto di lavoro sottoscritto NON posso avere “autonomia e responsabilità proprie”, ma solamente “autonomia e responsabilità secondo metodologie definite”
    devo, quindi, rifiutarmi di firmare la lettera di incarico?
    Cordiali saluti

  6. Paolo Giardini Post author

    Salve.
    Se cè’ dolo, ovviamente ricorrono i recenti inasprimenti del codice penale per chi abusa del ruolo di “operatore di sistema”. Per quanto riguarda la parte prettamente relativa al trattamento di dati personali, la lettera di incarico come “amministratore di sistema” deve contenere o comunque le devono essere comunicati i compiti e le responsabilità assegnate. Per dirla con le parole del provvedimento del Garante:

    La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

    il che significa in pratica che i suoi compiti devono essere definiti a priori.
    In ultimo, il ruolo di amministratore di sistema, ancorché non formalizzato secondo quanto dettato dal provvedimento in questione, comporta delle responsabilità e questo è ovvio ma non appesantisce la situazione. Il provvedimento, piuttosto che essere un colpo basso al cosiddetto “sistemista” è una tiratina d’orecchie ai titolari di trattamento per ricordare loro che devono prendere sul serio le loro responsabilità in merito ai dati personali trattati.
    Suggerisco inoltre di valutare bene se si rientri o meno nel campo di applicazione, dato che esistono numerose esenzioni nelle quali in pratica possono ricadere un gran numero di aziende.

    .

  7. filippo

    Salve,
    sono un responsabile informatico per una azienda metalmeccanica leader nel suo settore, con più di 200 dipendenti. A breve riceverò la nomina per iscritto ad amministratore informatico, come prevede il provvedimento del garante. Contestualmente a questa nomina, verrò incaricato come responsabile della privacy, e cioè trattamento dati e documento programmatico della sicurezza. Volevo chiedere viste le responsabilità cadute a pioggia, se a questo debba contestualmente pareggiarsi un aumento salariale, e se si, quanto posso chiedere indicativamente in una eventuale trattativa con la mia direzione, un range di stipendio secondo lei attendibile in base ai nuovi incarichi.
    Grazie per una eventuale risposta.
    Saluti

  8. Paolo Giardini Post author

    Temo di non essere la persona indicata per rispondere al suo quesito.
    In linea di massima, ma è un mio pensiero, Lei ha il diritto di richiedere un adeguamento del compenso a fronte delle maggiori responsabilità cui dovrà attendere. Potrebbe forse richiedere un passaggio di qualifica?

  9. carlo

    Buongiorno,

    sono un responsabile informato di piu’ di una ventina di ditte che seguo da diversi anni come sistemista esterno.

    A breve riceverò la nomina per iscritto ad amministratore informatico, come prevede il provvedimento del garante.

    In tutte le ditte che seguo sono stato identificato come persona competente e adatta a tale ruolo.

    Volevo quindi chiedere se l’incarico che potro’ accettare puo’ crearmi dei conflitti con altre aziende che seguo e mi debba quindi tutelare specificando dei contratti specifichi per i tempi e modi di intervento tecnico da effettuare, es disaster recovery in caso di guasto.

    Saluti

  10. Paolo Giardini Post author

    Salve.
    Non vedo motivi che possano creare conflitti. Certo un contratto ben scritto ed una lettera di incarico che specifichi bene compiti e responsabilità sono una cosa indispensabile.
    Per la questione dei tempi di ripristino, questi sono specificati dalla normativa, in particolare dal punto 23 dell’allegato B nel caso di trattamento dati sensibili o giudiziari (7 giorni). E’ anche da tenere presente il limite di 15 giorni fissato dall’art. 146 del D.lgs 196/2003 per il riscontro all’interessato che ci obbliga ad effettuare il ripristino dei dati in tempi congrui per la soddisfazione delle richieste effettuate ai sensi dell’art. 8 (esercizio dei diritti dell’interessato).

  11. Iarno

    Salve,
    come consulente informatico dipendente presso un azienda di servizi, con una o più nomine ad amministratore di sistema richieste dai nostri clienti, potrebbe essere necessaria un maggiore tutela? Ad esempio una copertura assicurativa ? Se escludiamo il dolo, a che rischi posso andare incontro ? E bene preoccuparsi di eventuali cause legali dove posso essere coinvolto direttamente?
    Grazie per una eventuale risposta.
    Saluti

  12. Paolo Giardini Post author

    Se ho inteso bene la situazione, Lei è dipendente di una azienda che offre servizi informatici a terzi. In questo caso non sembra richiesta alcuna nomina “ad personam” dell’Ads. La ditta esterna deve essere nominata “responsabile del trattamento in outsourcing” e deve provvedere a consegnare al Titolare del trattamento l’elenco aggiornato dei propri incaricati delle assistenze tecniche, tenendo presente che “non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.” (FAQ Garante).
    Per quanto riguarda la responsabilità, a prescindere dalla nomina ad AdS, questa è sempre stata regolata dall’art. 2104 c.c. (diligenza del prestatore d’opera). Sull’opportunità di una copertura assicurativa mi trova d’accordo, ma questa è comunque una valutazione soggettiva e non dipendente da nomina o meno ad AdS, dato che questo provvedimento non introduce alcuna novità nell’ambito dei contratti di prestazione d’opera. Aggiungo che a doversi maggiormente preoccupare di eventuali problematiche potrebbe essere il Titolare, chiamato ad effettuare nomine solo previa attenta valutazione delle caratteristiche di competenza, capacita. affidabilità del candidato, nomina che se incautamente effettuata, potrebbe portare, in caso di problemi, ad una condanna per culpa in eligendo e culpa in vigilando.

  13. Daniela

    Ciao, mi chiamo Daniela e da qualche anno lavoro in un ente pubblico nel settore informatico. Ho scoperto recentemente di essere stata nominata Amministratore di Sistema, vorrei sapere se questa nomina doveva essermi comunicata personalmente, ad esempio tramite lettera. Inoltre nell’atto di nomina, accanto al mio nominativo, non è presente un’elencazione analitica degli ambiti di operatività a me consentitti, ma la dicitura “funzioni: gestione apparati e servizi di networking”, questo è corretto? In effetti sono un po’ preoccupata e non capisco se questa nomina è solo un atto dovuto e buroscratico che doveva fare l’ente, oppure se la nomina ad Amministratore di Sistema comporta rispetto al mio lavoro delle assunzioni di responsabilità che prima della nomina probabilmente non avevo.

    Grazie Daniela

  14. Paolo Giardini Post author

    Ciao Daniela.
    “Aver scoperto” significa che non ti è stato comunicato nulla ed hai solo trovato (come?) un elenco con il tuo nome e l’incarico?
    La nomina è, appunto “nominativa” come indicato nel Provvedimento.

    4.2 Designazioni individuali
    La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

    Anche se si può dire che non esista un obbligo di singole lettere, la prassi comune è comunque di redigere un atto formale con la nomina, i riferimenti nomativi, i compiti assegnati (p.e. backup, gestione firewall, manutenzione databasa,…), insomma ci si potrebbe aspettare qualcosa di più da un ente pubblico.
    Per quanto riguarda le responsabilità, come ho scritto in risposta ai precedenti commenti, non cambia nulla rispetto agli obblighi del dipendente o del prestatore d’opera nei confronti del datore di lavoro (fedeltà, diligenza, ecc.) come previsto dal codice civile, dal Codice in materia di protezione dati personali, e, ovviamente, dal codice penale in materia di reati informatici.
    Facci sapere 🙂

  15. Carlo Volati

    Salve,
    sono Carlo Volati e faccio il sistemista e curo l’assistenza tecnica presso una cinquantina di studi notarili. La mia situazione della clientela fà si che una struttura noraile abbia come media una decina di impiegate, il Notaio è anche il titolare del trattamento, nessun dipendende può avere la nomina ad ADS perchè non ne ha le capacità, io come outsourcing mi faccio un bel contratto ad hoc dove non mi prendo la nomina di Ads per l’art 30, ma quella di manutentore art. 29 e 28. Questo ne consegue che i miei clienti non daranno nomina di ADS poichè non sono obbligati a farlo non potendolo avere internamente, ma solo di rapporto contrattuale con i fornitori di assistenza Hardware e Software. Fondamentale è, come descritto prima, che ci sia un contratto tra le parti fatto e rispettato ad hoc.

  16. Carlo Volati

    Mi piacerebbe avere da Paolo Giardini una opinione sulla mia cosiderazione.

    Saluti
    Carlo Volati

  17. Paolo Giardini Post author

    in risposta a Carlo Volati
    In generale posso essere d’accordo, ma vorrei fare alcune puntualizzazioni.
    La prima, la più importante, è che non si deve dimenticare la definizione di AdS data nel provvedimento dal Garante. L’AdS non è soltanto chi effettua manutenzione dei sistemi ma anche chi ha responsabilità, prendetelo tra virgolette, minori dal punto di vista tecnico come ad esempio gestire i backup; cosa che non richiede particolari competenze tecniche ma che comporta responsabilità in relazione al trattamento di dati personali. Quindi un AdS potrebbe essere nominato in ragione dell’attività svolta anche senza essere un tecnico.
    La seconda annotazione è questa: non capisco cosa intendi quando parli di nomina ad Ads per l’art. 30 o manutentore art. 28 e 29. O forse si, ma non è corretto quanto dici.
    AdS può essere anche un esterno, nel qual caso non viene nominato dal titolare ma è compito dell’azienda esterna effettuare la nomina e comunicare i nominativi degli Ads al titolare. E di certo un Ads non viene nominato in base all’art.30, articolo riferito agli incaricati del trattamento.
    Sono comunque assolutamente d’accordo quando dici che è essenziale un contratto fatto bene che comprenda doveri e modalità di espletamento in maniera chiara e completa.

  18. Xfilesit

    In relazione a:
    La nomina è, appunto “nominativa” come indicato nel Provvedimento.

    4.2 Designazioni individuali
    La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato

    In una azienda di un mio collega la nomina a ADS è stata fatta firmare individualmente ma reca come nominativo non una singola persona ma quattro persone designati come ADS, questo non penso sia regolare anche perche a queste persono sono state attrubuite le stesse funzione che nella realtà operativa non fanno.
    Grazie

  19. Maura

    Ciao, mi chiamo Maura e da 10 anni lavoro in un piccolo Comune nel settore LL.PP. Urbanistica ed Ambiente. Mi è stata notificata in data 13 aprile 2010 la nomina Amministratore di Sistema con le seguenti manisioni 1) custodia pasword 2) predisporre e rendere funzionali copie backup 3) predisposizione sistemi idonei alla registrazione accessi logici.
    Premesso che io non ho nessuna preparazione specifica a livello informatico ma che semplicemente per passione personale conosco forse più di un utente medio in materia e pertanto in tal senso ho in alcune occasioni aiutato colleghi con problemi a livello hardware e software (ovvimente a titolo personale senza compenso). Premetto che si, in effetti io attualmante copio i backup su dvd (ma solo perchè sono l’unica che lo sa fare sui 15 dipendenti) ma non ho idea di come si ripristini ad esempio in caso di recovery (non avendolo mai fatto), non credo di aver problemi nel conservare le password ma non ho idea di cosa fare per traccire i log.
    Ho fatto presente sia al sindaco che al segretario questo problema, ma mi dicono che comunque qualcuno lo dovevano nominare.
    Vorrei sapere se questa nomina può essere rifiutata da parte mia ho se quantomento sarebbe utile mettere per iscritto le precisazioni di cui sopra.
    Grazie Maura

  20. Paolo Giardini Post author

    Buongiorno Maura.
    Le tue osservazioni sono corrette. Se non hai le competenze per assolvere ai compiti indicati nella lettera di incarico hai “l’obbligo” di farlo presente. Nominare AdS qualcuno solo “perchè qualcuno si deve pur nominare” non ha alcun significato.

  21. Viola

    Ciao, lavoro nel ced di un comune siamo 8 operatori io a partime. Con Altri 4 colleghi vogliono nominarci amministratori di sistema.
    Mi domando se ha un senso dare un tale incarico ad un partime. Esiste un capo centro (sempre un tecnico) pertanto i nominati non hanno possibilità di budget per sistemare eventuali inadempienza. Non sarebbe più corretto che l’amministratore di sistema fosse il capo centro che peraltro ci spartisce le attività da compiere. Eppoi la nomina ha una scadenza o mi resterà appiccicata a vita? Grazie

  22. Paolo Giardini Post author

    Ciao Viola.
    La nomina ad “Amministratore di Sistema” è relativa all’accesso anche potenziale a dati personali effettuato durante attività di manutenzione e/o gestione di sistemi informatici. Se vogliamo essere molto generici e non del tutto corretti, potremmo dire che è l’equivalente della nomina ad “incaricato” effettuata per gli impiegati che effettuano trattamento dati personali durante l’attività giornaliera. Se part-time o meno non rileva, ciò che è da valutare è se si tratti di una attività continuativa o se si tratti di interventi “spot” su chiamata, ad esempio nel caso di una ditta esterna chiamata a fare manutenzione in caso di guasti. Quindi la nomina ad Amminstratore di sistema è dovuta, a prescindere da budget, quando ne ricorrano le condizioni.
    Leggi anche l’articolo sulla domanda specifica “accetto o non accetto la nomina ad AdS”.
    Se interessa l’argomento, il 24 febbraio e il 3 marzo terrò due giornate di studio dedicate agli Enti Pubblici sul tema degli Amministratori di Sistema nella Pubblica Amministrazione presso il Comune di Montegiorgio (AP). Contattatemi pure per informazioni.

  23. monik

    Buon giorno, mi potete suggerire software open source per la gestione dei logging accesso al server? Grazie

  24. Claudio Benvenuti

    Salve,
    innanzitutto complimenti per l’articolo e per le puntuali risposte.
    Sono un tecnico/sistemista/consulente informatico freelance e mi trovo a dover capire se accettare o meno le nomine di incarico ad ADS che qualche cliente mi propone. (Ho già letto il vostro articolo http://blog.solution.it/amministratori-di-sistema-accetto-o-non-accetto/)
    In particolare i servizi che offro riguardano l’installazione, la configurazione e la manutenzione di sistemi (basati su software opensource) che variano da applicazioni web, quali CRM e CMS, a File-Server, Backup-Server, Proxy-Server, etc.
    In pratica mi occupo di assemblare uno o più server e di configurarli secondo le esigenze del cliente. Non ho alcuna conoscenza riguardo alla rete informatica esistente, ne tantomeno sulle misure di sicurezza che sono adottate nei vari altri PC/Server aziendali, ma ho la certezza che sui server da me installati risiedano dati personali e, spesso, sensibili.
    I miei interventi su tali server (salvo dove ho previsto un canone di manutenzione annuale) sono molto rari e si limitano alla creazione/eliminazione di utenze, all’aggiornamento sporadico di alcuni componenti del sistema e poco altro.

    Considerando che “non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.” posso evitare di firmare la lettera di incarico, evitando così il rischio di responsabilità civile/penale che può derivare, oppure la mia nomina ad ADS è legittima? E’ lecito chiedere un compenso a seguito delle responsabilità che, firmando, vado ad accettare? Sull’eventuale nomina deve essere esplicitamente specificato che il mio ruolo di ADS è limitato all’amministrazione del/dei server da me gestiti?
    Infine, a chi mi posso rivolgere per chiedere assistenza per l’eventuale stipula di un contratto?

    Grazie mille per la disponibilità e per la pazienza
    Claudio

  25. Paolo Giardini Post author

    Da quanto mi dici, penso che puoi rientrare nelle “esenzioni” in quanto i tecnici che effettuano interventi occasionali, come giustamente dici, non devono essere necessariamente nominati AdS.
    Tieni presente che comunque non elimini i rischi relativi alle responsabilità civili (non penali, a meno di commettere reato) per errori od omissioni indipendentemente dal fatto che si parli di normativa sulla privacy o meno in quanto derivanti dal Codice Civile.
    Nel caso tu venga nominato AdS, dovranno essere specificatamente indicate per scritto, nella lettera di nomina, le mansioni affidate e quindi anche i server gestiti.
    Per scrivere un buon contratto rivolgiti a qualcuno che sappia di cosa si parla, sia dal punto di vista contrattualistico e normativo (compresi i provvedimento del Garante) che (almeno un po) di informatica, per capire di cosa si parla e dei rischi relativi.
    Per quanto riguarda i compensi, se aumentano le responsabilitò e le mansioni, hai diritto ad un adeguamento del compenso. Questo però sta a te in fase di contrattazione 🙂

  26. Alessandra Gallian

    In una piccola associazione con solo due dipendenti che lavorano part – time (una al mattino e una al pomeriggio), un solo pc, i compiti di manutenzione (aggiornamento antivirus copie di back up) sono divisi fra queste due dipendenti. Non c’è nessuna società o persone esterne che si occupino della manutenzione. Hanno il DPS perchè trattano dati sensibili. E’ obbligatoria in questo caso la nomina dell’amministratore di sistema? è possibile fare solo delle lettere di incarico per la manutenzione alle dipendenti?

  27. Paolo Giardini Post author

    Senza conoscere la situazione in dettaglio non è possibile dare risposte certe, ma in generale direi che la soluzione prospettata per i due dipendenti potrebbe essere corretta.

  28. Gennaro Amarante

    Buongiorno, sono stato incaricato due anni fa come responsabile Amministratore di Sistema della Azienda da cui dipendo e di un’ altra azienda partecipata. La mia domanda è questa posso chiedere un adeguamaento economico a fronte dei nuovi incarichi di responsabilità visto che mi è stata proposta la nomina per una terza azienda partecipata dove addirittura mi si obbliga a firmare la lettera con data retroattiva ?
    Tengo a precisare che circa tre anni fa lavoravo sempre nella medesima azienda con e sono stato trasferito ai sistemi informativi con il solito livello contrattuale e trattamento economico, mentre sono cambiati ruoli e responsabilità.

  29. Paolo Giardini Post author

    A parte il fatto che firmare, far firmare o presentare ad un pubblico ufficiale un documento di nomina con data anteriore a quella effettiva potrebbe configurare un reato, faccia considerare al titolare che eventuali controlli vengono effettuati sulla situazione presente al momento della verifica (a meno di indagini effettuate su un caso specifico).
    Per quanto riguarda la domanda sull’adeguamento del contratto, ho già risposto ad altri che non sono la persona più qualificata per rispondere correttamente anche se personalmente penso che il compenso debba essere commisurato all’incarico ed alle responsabilità assunte.

  30. Giovanni

    Buongiorno, sono il legale rappresentante di una società di servizi che opera nel campo del telemarketing/teleselling. La società è stata recentemente nominata da un cliente Responsabile del trattamento dei dati in outsourcing. Fin qui tutto bene, se non fosse che noi stessi terzializziamo buona parte delle suddette attività ad altre aziende. Il dubbio feroce è se debba/possa a mia volta incaricare queste società esterne quali responsabili esterni o se possa solo incaricare singolarmente i collaboratori di queste società, all’interno delle quali non hi nessuna possibilità seria di vigilare sulla correttezza dei trattamenti fatti (ipotesi più che concreta di culpa in vigilando).

  31. Paolo Giardini Post author

    Voi potete nominare le società esterne come vostri responsabili esterni dei vostri trattamenti. In questo modo vengono “inglobate” nel vostro “organigramma privacy”, ovviamente sotto la vostra responsabilità. Sarà necessario prevedere opportune misure di verifica e controllo ed una lettera di nomina che definisca compiutamente compiti, mansioni, obblighi e controlli.

  32. Marco

    Sono un’ADS in un ente pubblico. E’ possibile avere un idea di massima dei “doveri” dell’amministratore di sistema al di la’ dei compiti che gli sono affidati in sede di nomina. In particolare mi riferisco al fatto di dover tenere un registro degli interventi (e che ci scrivo poi???) e/o altri adempimenti di carattere di questo tipo e/o burocratico.
    Grazie

  33. Paolo Giardini Post author

    Non esistono norme di legge con specifiche tecniche ma il nuovo CAD sancisce l’obbligo di piani di sicurezza e continuità operativa. Suggerisco di aderire a standard internazionali tipo le ISO 27000, ITIL, e British Standard. In proposito consulta questo documento su digitPA

  34. Stefano Montanari

    Buongiorno,

    sono il legale rappresentante di un’azienda, di cui alcuni dipendenti forniscono servizi di Amministrazione di Sistema ad aziende terze. Visto che alcuni di essi dovranno essere nominati formalmente, mi chiedo se l’accettazione della nomina comporta responsabilità maggiori rispetto a quelle già assunte implicitamente con l’accettazione dei contratti di assistenza ed in tal caso se tali responsabilità aggiuntive ricadono sulla mia azienda o piuttosto sui lavoratori.

    Cordialità

  35. Paolo Giardini Post author

    La situazione in realtà è abbastanza complessa Per prima cosa ricordo che non è l’azienda terza presso cui si effettuano le prestazioni ad effettuare la nomina ad AdS ma deve essere la sua azienda, in quanto suoi dipendenti. L’azienda terza dovrà richiedere (e ricevere) la lista dei nominativi dei tecnici che in qualità di AdS avranno accesso anche solo potenziale ai dati personali.
    In merito alle responsabilità ovviamente vi sono le responsabilità di tipo civile in caso di danno dovuti ad imperizia o penale in caso di dolo. Nel primo caso la sua azienda potrà essere chiamata a rispondere, nel secondo caso la responsabilità è personale.
    Nel contratto che regola rapporto fra azienda terza e la sua azienda o mediante eventuale specifico documento di nomina dovrà essere specificato se la sua azienda opera in qualità di responsabile esterno del trattamento e con quali specifiche mansioni e deleghe. Questo definisce, molto in generale, se la eventuale responsabilità per danni ai dati personali resti del titolare del trattamento o sia stata trasferita alla sua azienda (in generale, non al singolo dipendente salvo rivalsa).
    Purtroppo dare una risposta definitiva senza conoscere in dettaglio la situazione non è possibile.

  36. Walter Cavanna

    Salve, sono un funzionario di un Ente Locale, q.f. D 3 e sono stato nominato con apposita determinazione dirigenziale ADS dell’Ente in cui lavoro sin dal marzo dello scorso anno. Sono un appassionato di informatica da oltre 28 anni ( dai tempi delle BBS ), laureato in un altro campo ma con materie date nello specifico dell’informatica. Ho seguito corsi di aggiornamento specifici sulle reti, realizzo anche siti e sono anche il webmaster del sito istituzionale.
    Diciamo che la mia competenza e’ riconosciuta e che la nomina ne fa cenno.
    L’Ente in cui lavoro conta circa 600 dipendenti e nel complesso circa 350 postazioni informatiche tutte in rete, vigilate e controllate sistematicamente dallo scrivente che segue i dettami del CAD e di quanto specifico nella normativa sulla sicurezza informatica, privacy, ecc. ecc. Per tutto il lavoro che svolgo non percepisco un euro in più rispetto al mio normalissimo stipendio e, da qualche parte, ho letto che il ruolo di ADS e’ da equiparare al ruolo Dirigenziale. La domanda mi sorge spontanea (Lubrano docet) posso avviare un percorso che mi garantisca e tuteli dal punto di vista economico amministrativo?
    Grazie in anticipo per la risposta

  37. Paolo Giardini Post author

    Non conosco una normativa che equipari l’ADS ad un ruolo dirigenziale e mi stupirei se così fosse.
    In ogni caso il trattamento economico è un campo del quale non mi occupo. Quello che ho sempre risposto a domande simili è che il trattamento economico va definito su basi contrattuali, quindi se retiene che la sua remunerazione non sia adeguata alle responsabilità ed al lavoro che svolge, ha tutti i diritti di avviare le azioni che ritiene adeguate.

  38. Giovanni Santomasimo

    Salve, sono il responsabile finanziario del mio Comune (11.800 abitanti), la gestione informatica è gestita in rete da ditta esterna con propri software ( la risoluzione di eventuali problemi vengono risolti in teleassistenza).L’impiegato addetto al CED di categoria C sembra sia stato nominato amministratore di sistema. La mia domanda è: può l’amministatore di sistema essere in possesso di password per accedere in visione e stampa ai programmi installati( personale-segreteria -ufficio tecnico-protocollo etc) tra cui quello di contabilità gestito dal sottoscritto? Occorre quantomeno la mia autorizzazione? Che sicurezza ho io in caso di fuga di notizie contabili se anche un’altra persona può accedere in visione a tali informazioni. Grazie per la risposta e per il meraviglioso contributo che date alla risoluzione dei problemi.

  39. Paolo Giardini Post author

    Buongiorno Giovanni.
    La figura dell’amministratore di sistema è stata prevista proprio per questi casi; basta leggere il documento del Garante per vedere che lo scopo è quello di regolamentare e controllare l’operato di chi ha accesso per funzioni ammnistrative ai sistemi che gestiscono dati personali (documento n. 1577499 sul sito del Garante).
    L’importante è che tutto quanto fa l’AdS sia previsto negli incarichi affidati per scritto tramite la lettera di nomina, che gli accessi siano tracciati e che ovviamente le password non siano condivise.
    La tua garanzia risiede nella corretta applicazione delle norme. Se tu ravvedi delle difformità devi farlo presente al responsabile.

  40. Alessandro

    Pezzo da like su facebook. Sull’argomento in discussione da poco ho letto moltissimo, ma ritengo che questo sia speciale.
    bye

  41. Paolo Giardini Post author

    Certo che è ancora in vigore!
    Tutta la documentazione, il provvedimento, le FAQ e altro sono reperibili sul sito del Garante privacy.