Il 15 dicembre 2009 scade il termine ultimo disposto dall'Autorità Garante per l'adozione delle misure e degli accorgimenti indicati nel provvedimento del 27.11.2008. Sin dall'inizio tale provvedimento ha destato non poche perplessità in ordine alla sua concreta applicazione, attesa la difficoltà interpretativa del testo, tanto che la scorsa primavera il Garante ha disposto una proroga per l'adeguamento e soprattutto ha fornito alcune delucidazioni, frutto di una consultazione pubblica sul provvedimento.
Premesso che tra gli operatori di settore, sia giuridici che informatici, permangono ancora dei seri dubbi circa l'applicabilità del provvedimento, andiamo ora ad analizzare le novità salienti rispetto al testo licenziato oltre un anno fa.
Preliminarmente, l'Amministratore di sistema (A.d.S.) è stato definito quale “figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. Al proposito si è inteso specificare che non rientrano nella definizione quei soggetti che, solo occasionalmente, intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. Ciò lascia presupporre che debbano escludersi i rapporti caratterizzati dalla saltuarietà e dalla occasionalità, il che ricorre nella maggior parte dei casi, spostandosi così l'obiettivo da quei soggetti che erogano l'assistenza tecnico-informatica senza soluzione di continuità o che intervengono su richiesta.
Inoltre, sono esclusi dal provvedimento, i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, già considerati dal Garante (doc. web n. 1526724 in www.garanteprivacy.it).
Ciò non toglie, a parere dello scrivente, che possa comunque continuare a configurarsi la possibilità di nominare tali soggetti quali responsabili del trattamento, con compiti e funzioni ben definiti.
Un altro aspetto delicato, è quello della registrazione degli accessi logici alle macchine da parte degli A.d.S. Il Garante specifica che oltre ai server, anche i client, intesi come “postazioni di lavoro informatizzate”, sono compresi tra i sistemi per cui devono essere registrati gli accessi degli A.d.S. Nell'ipotesi, poi, di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d'impresa, non si applicheranno le previsioni relative alla verifica delle attività dell'amministratore né la tenuta del log degli accessi informatici.
Segnala l'articolo ad un amico
Attenzione,
l’accesso ai documenti è riservato agli utenti iscritti al portale.
Se sei già registrato inserisci username e password nell'apposito spazio in alto a destra su questa pagina.
Se hai dimenticato username o password clicca qui.
Se non sei ancora un utente registrato, clicca qui.
Le registrazione è gratuita.
Per altre informazioni: info@webdieci.com.