Si è tenuto ieri pomeriggio una sessione di studi organizzato da AIP Umbria e AIP Toscana in collaborazione con OPSI (Osservatorio Nazionale Privacy e Sicurezza delle Informazioni) sulle novità introdotte nella normativa privacy dal Governo e dal Garante Privacy in tema di Amministratori di sistema e distruzione dei dati dai supporti informatici dismessi.
Del provvedimento si è già parlato in un altro post. In particolare la discussione si è sviluppata sulle modalità tecniche di applicazione della gestione dei log, che, data la genericità delle indicazioni, ha suscitato numerose perplessità.
Uno dei dubbi espressi riguarda il fatto che i log sono gestiti dall’amministratore (o root), e costui avrà ben più di uno strumento per alterare o distruggere, i log che non ha interesse vengano registrati. E’ il solito problema: Chi controlla il controllore?
La risposta, a mio parere, va ricercata nel provvedimento stesso. Il Titolare del trattamento ha tutte le responsabilità penali ed amministrative relative ai trattamenti effettuati e proprio per questo deve porre particolare attenzione nell’effettuare le nomine ad “amministratore di sistema”; voi dareste a chiunque le chiavi di casa vostra?
Ringrazio i numerosi partecipanti e gli amici della Tiphys per l’ospitalità.
Questo post sarà aggiornato con ulteriori osservazioni anche grazie ai commenti ed alle domande che ho raccolto in questi giorni.
Di seguito trovate le slide con riepilogate le novità normative e alcuni spunti per l’adeguamento tecnico.
Slide: Modifiche alla normativa privacy 2008 opsi-privacy2008
Slide: Spunti di discussione sulle modalità di adeguamento tecnico al provvedimento su amministratori_sistema