Sul tema delle modalità di un corretto adeguamento a quanto disposto dal provvedimento del 27/11/2008 e sulla valutazione dell’impatto che questo comporta per i Titolari di trattamento, il Garante Privacy ha ricevuto numerose richieste di spiegazioni ed ha pertanto deciso di avviare una consultazione sul tema. I tempi sono purtroppo ristretti data la prossima scadenza del 30 giugno per l’adeguamento.
Osservazioni e commenti potranno essere inviati al Garante entro il 31 maggio 2009.
Il link alla notizia sul sito del Garante.
1) I log devono essere trasferiti ad un’altro sistema protetto e inalterabile con una replica automatica ed immediata oppure possono essere trasferiti su una base periodica ?
2) quali sono gli eventi da registrare ?
(molti sistemi registrano il login ma non il logout, vanno registrati altri eventi ?)
3) esistono sistemi che, pur con dati sensibili (per esempio – certi cardiografi) non posseggono un sistema di logging. Cosa si deve fare in questi casi ?
4) Per il servizi in outsourcing, va nominata responsabile l’azienda che fornisce il servizio e questa, solo al suo interno, nominerà gli amministratori oppure vanno comunicati all’azienda cliente i nominativi degli amministratori ? (la gestione può diventare molto pesante)
5) Un’azienda che gestisce solo le anagrafiche clienti e fornitori, anche se con 1000 dipendenti e 300 milioni di fatturato, può avere una gestione meno onerosa rispetto a chi gestisce dati sensibili ?
Grazie
Cordiali saluti
Dan Kotwicz
Salve.
Innanzi tutto tenga presente che il provvedimento riguarda solo gli amministratori di sistema, pur nell’ampia definizione intesa dal Garante. Pertanto l’attività degli operatori non deve essere registrata.
Si devono registrare le operazioni login, logout e login falliti, per un completo tracciamento degli accessi.
Sono le aziende esterne, nominate responsabili in outsourcing, che devono comunicare la lista degli amministratori di sistema, da allegare al DPS, se dovuto, o da conservare a cura del titolare.
Sull’assunto che non siano le dimensioni dell’azienda ad influire sulla gestione dell’adeguamento alla normativa penso siamo tutti d’accordo. Mi lasci dire però che con 1000 dipendenti qualche dubbio sul fatto che non si gestiscano dati sensibili mi sorge.
Per quanto riguarda le sue altre domande, sono questi alcuni dei punti che il Garante dovrà chiarire al termine della consultazione pubblica indetta su questo argomento (http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986).
La invito pertanto ad inviare anche le sue osservazioni al Garante.