Sulla Gazzetta Ufficiale del 24 Dicembre scorso è stato pubblicato un nuovo provvedimento del Garante della Privacy che merita di essere sottoposto all’attenzione delle aziende in quanto si occupa di problemi relativi alle attribuzioni delle funzioni d’amministratore di sistema.
In sintesi, sono state emanate delle nuove prescrizioni che riguardano da vicino la figura dell'amministratore del sistema informativo aziendale, già contemplata e definita nella vecchia legge sulla Privacy 675 e relativo DPR 318, ma non menzionata nel più recente decreto legislativo 196, fatta eccezione per un’indicazione sommaria nell'Allegato B.
Nel provvedimento, oltre a chiarire ed ampliare la definizione d’amministratore di sistema, sono fornite una serie di prescrizioni da adottare nei confronti degli amministratori stessi e del loro operato.
I punti su cui il Garante intende fare chiarezza sono principalmente i seguenti sei:
1) Valutare le caratteristiche soggettive dell’individuo.
2) Designare individualmente gli amministratori.
3) Mantenere in azienda un elenco dei nomi degli amministratori di sistema.
4) Mantenere in azienda un elenco nominativo di tecnici esterni qualora il servizio sia dato in outsourcing.
5) Controllare le attività svolte dagli amministratori di sistema.
6) Registrare gli accessi.
Molti di questi punti hanno più un carattere informativo che legale. Con il provvedimento, il Garante intende soprattutto mettere in guardia le aziende sulle scelte da loro operate.
Data la delicatezza del ruolo svolto dall’amministratore di sistema è importante, ad esempio, valutare le caratteristiche soggettive dell’individuo, prima di affidargli un incarico così importante.
A tal proposito, è citata una pratica diffusa nella Pubblica Amministrazione, che potrebbe fare testo anche nell’ambito privato, che riguarda la richiesta di un certificato penale al soggetto che s’intende delegare a questa funzione.
Nel primo punto del provvedimento è inoltre specificato che l'attribuzione delle funzioni d’amministratore di sistema deve avvenire previa valutazione delle caratteristiche d’esperienza, capacità ed affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
I punti 2 e 3 sono invece più specifici perché richiedono alle imprese un adeguamento del loro documento programmatico sulla sicurezza (DPS).
In pratica, il Garante richiede che sia inserito sul DPS un riferimento preciso che riguarda l’elenco degli amministratori interni oppure dei referenti tecnici esterni o in outsourcing che esplicano questo tipo d’attività per l’azienda.

http://www.ipsoa.it/specialeprivacy/upload/P62_provv_271108_gu300_2008.pdf