Il nuovo anno ci porta ancora novità in materia di adempimenti privacy.
Il 24 dicembre 2008 è stato pubblicato in Gazzetta Ufficiale un nuovo provvedimento del Garante Privacy riguardante i “soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti amministratori di sistema”.
Consiglio la lettura del testo, ad esempio sul sito del Garante Privacy.
In poche parole si tratta di una sostanziale equiparazione dell’amministratore di sistema al “Responsabile Privacy”,
con designazione nominativa effettuata “previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato”. Sono compresi nel novero degli “amministratori” anche coloro che pur non accedendo direttamente ai dati hanno potenzialmente la possibilità di farlo, come ad esempio manutentori ed addetti ai backup. I nomi degli amministratori e i compiti analiticamente assegnati devono essere descritti nel DPS o in caso di esonero, in un apposito documento da conservare. Nel caso di outsourcing devono essere annotati anche i nomi dei tecnici esterni che svolgeranno attività presso il cliente. I nominativi degli amministratori che possono accedere ai dati personali dei dipendenti devono essere resi noti agli stessi.
L’attività dell’amministratore dovrà essere sottoposta ad una verifica almeno annuale da parte del titolare del trattamento.
Dulcis in fundo, dovranno essere predisposti adeguati strumenti atti a registrare ogni accesso effettuato dall’amministratore in maniera completa, inalterabile e verificabile a posteriori. Tali log dovranno essere conservati per almeno sei mesi.
Tutto questo deve essere messo in pratica entro il 24 aprile 2009.
Altra novità, direttamente collegata a quanto sopra ci viene dal decreto governativo di fine anno, il famoso Milleproroghe, che fra le sue pieghe contiene, all’art. 44 un inasprimento pari al doppio delle sanzioni prevista dal D.lgs 196/2003, l’abolizione del pagamento in misura ridotta per violazione delle norme relative alle misure minime (!) e altre simili piacevolezze.
Voglio infine ricordare che fra le nuove misure di sicurezza previste dai provvedimenti del Garante c’è l’obbligo di cancellazione sicura per i supporti informatici riutilizzati e di distruzione per i supporti dismessi.
Ad esempio gli hard disk dovranno subire un processo di cancellazione con sovrascrittura ripetuta almeno sette volte.
qui trovate il provvedimento del Garante Privacy.