Articolo da Hi Tech Insider - 11/02/2008
DPS: nuove direttive dal Garante della Privacy sul ruolo dell’amministratore di sistema
Sulla Gazzetta
Ufficiale del 24 Dicembre scorso è stato pubblicato un nuovo provvedimento
del Garante della Privacy che merita di essere sottoposto all’attenzione
delle aziende in quanto si occupa di problemi relativi alle attribuzioni
delle funzioni d’amministratore di sistema.
In sintesi, sono state emanate delle nuove prescrizioni che riguardano da
vicino la figura dell'amministratore del sistema informativo aziendale, già
contemplata e definita nella vecchia legge sulla Privacy 675 e relativo DPR
318, ma non menzionata nel più recente decreto legislativo 196, fatta
eccezione per un’indicazione sommaria nell'Allegato B.
Nel provvedimento, oltre a chiarire ed ampliare la definizione
d’amministratore di sistema, sono fornite una serie di prescrizioni da
adottare nei confronti degli amministratori stessi e del loro operato.
I punti su cui il Garante intende fare chiarezza sono principalmente i
seguenti sei:
1) Valutare le caratteristiche soggettive dell’individuo.
2) Designare individualmente gli amministratori.
3) Mantenere in azienda un elenco dei nomi degli amministratori di sistema.
4) Mantenere in azienda un elenco nominativo di tecnici esterni qualora il
servizio sia dato in outsourcing.
5) Controllare le attività svolte dagli amministratori di sistema.
6) Registrare gli accessi.
Molti di questi punti hanno più un carattere informativo che legale. Con il
provvedimento, il Garante intende soprattutto mettere in guardia le aziende
sulle scelte da loro operate.
Data la delicatezza del ruolo svolto dall’amministratore di sistema è
importante, ad esempio, valutare le caratteristiche soggettive
dell’individuo, prima di affidargli un incarico così importante.
A tal proposito, è citata una pratica diffusa nella Pubblica
Amministrazione, che potrebbe fare testo anche nell’ambito privato, che
riguarda la richiesta di un certificato penale al soggetto che s’intende
delegare a questa funzione.
Nel primo punto del provvedimento è inoltre specificato che l'attribuzione
delle funzioni d’amministratore di sistema deve avvenire previa valutazione
delle caratteristiche d’esperienza, capacità ed affidabilità del soggetto
designato, il quale deve fornire idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza.
I punti 2 e 3 sono invece più specifici perché richiedono alle imprese un
adeguamento del loro documento programmatico sulla sicurezza (DPS).
In pratica, il Garante richiede che sia inserito sul DPS un riferimento
preciso che riguarda l’elenco degli amministratori interni oppure dei
referenti tecnici esterni o in outsourcing che esplicano questo tipo
d’attività per l’azienda.
http://www.ipsoa.it/specialeprivacy/upload/P62_provv_271108_gu300_2008.pdf