|
Nel quadro delle novità con le quali il Garante ha chiuso l’anno che ci
lasciamo alle spalle, un posto di grande rilievo deve sicuramente essere
assegnato al provvedimento dedicato agli amministratori di sistema (adottato il
27 novembre 2008, pubblicato nella G.U. n. 300 del 24 dicembre 2008).
L’autorità torna così su una figura che, espressamente contemplata nel
vecchio DPR 318/99, era di fatto scomparsa nel disciplinare tecnico (all. B al
DLGV 196/03), e che viene oggi riesumata sulla base della esigenza sentita dal
Garante di dare una più robusta regolamentazione ad una figura chiave nella
gestione dei processi aziendali.
Il provvedimento è articolato, e molti sono i punti importanti e le criticità
operative che ne conseguono.
Senza nessuna pretesa di completezza, ecco gli elementi fondamentali:
- è accaduto molto spesso che il Garante, nell’emanare vari provvedimenti,
ne abbia qualificato la veste giuridico-formale soltanto all’interno del
dispositivo, generando quindi più di una confusione in ordine alla
vincolatività ed alla portata delle indicazioni impartite nel corpo del
provvedimento (basti pensare al caos che continua a regnare sovrano
relativamente alle linee guida su posta elettronica ed internet del 01.03.07).
Del tutto opportunamente, invece, nel provvedimento che stiamo analizzando, l’autorità
ha reso immediatamente percepibile la differenza fra le mere indicazioni a
carattere squisitamente divulgativo (fornite ai sensi dell’art. 154 comma 1
lett. h) e le vere e proprie prescrizioni impartite con piena efficacia
vincolante, ed a pena di illiceità del trattamento, nell’esercizio dei poteri
di cui all’art. 154 comma 1 lett. c);
- il DPR 318/99 definiva amministratore di sistema il soggetto al quale è
conferito il compito di sovrintendere alle risorse del sistema operativo di un
elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione. Nel
provvedimento, il Garante estende la nozione ad un ambito ben più largo, che
comprende non solo figure professionali finalizzate alla gestione e alla
manutenzione di un impianto di elaborazione o di sue componenti, ma anche
altre figure equiparabili dal punto di vista dei rischi relativi alla protezione
dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e
di apparati di sicurezza e gli amministratori di sistemi software
complessi;
- la parte del provvedimento relativa alle prescrizioni, contiene una serie
di nuovi adempimenti a carico dei titolari del trattamento che usufruiscano di
figure rientranti in tale nozione: dalle prescrizioni, però, sono formalmente
esentati coloro che rientrano nel malcerto ambito di applicazione del parallelo
provvedimento 27.11.08 sulle semplificazioni (vedi DPS: chi può semplificare e
chi autocertificare?);
- spiccano, per la loro portata pratica (certamente non in linea di
continuità con la stagione di semplificazioni cui, almeno sulla carta, ci
stavamo abituando) alcune prescrizioni specifiche, ed in particolare:
a) secondo il Garante, attesa la particolare significatività del ruolo
svolto, la soluzione naturale nella attribuzione del ruolo privacy all’amministratore
di sistema è quella della sua designazione a responsabile del trattamento. La
designazione, peraltro, è e resta facoltativa, e ciò in virtù del disposto di
una norma di legge (l’art. 29 comma 1 del codice) che il Garante non ha il
potere di derogare. Ciò nonostante, con una disposizione abbastanza anomala, ma
eloquentemente orientata ad elevare il livello di attenzione sul tema, il
provvedimento prevede come anche quando le funzioni di amministratore di
sistema o assimilate sono attribuite solo nel quadro di una designazione quale
incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il
responsabile devono attenersi comunque a criteri di valutazione equipollenti a
quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29;
b) è escluso, per gli amministratori di sistema, il ricorso ad uno strumento
di semplificazione che era ab origine contenuto nel codice, e che veniva
molto utilizzato all’interno di organizzazioni complesse: mi riferisco all’art.
30 comma 2, che garantiva la possibilità, in luogo della designazione di
incarico individuale, della cosiddetta designazione per classi omogenee di
incaricati, previsione che consentiva la redazione di un unico documento
valevole per tutti gli addetti ad una determinata area, anche se si trattava
degli addetti IT. Bene. Tale strumento non potrà più esser utilizzato per
tutti coloro che rientrano nella nozione di system administrator, atteso
che per gli stessi vi sarà l’obbligo di designazione individuale;
c) il fatto che, nel processare i dati, l’amministratore non vi abbia
accesso in chiaro, non è considerato dal Garante circostanza sufficiente ad
uscire dall’area applicativa del provvedimento;
d) sarà necessario redigere un elenco degli amministratori di sistema, che
dovrà essere formato sia da chi è tenuto alla redazione del DPS, sia (qui la
sostanziale novità) per chi è libero da quell’obbligo;
e) con una disposizione che certamente creerà grossi problemi all’interno
delle aziende (soprattutto quelle molto sindacalizzate), è previsto che se l’amministratore
di sistema svolge trattamenti che coinvolgono i lavoratori, il suo nominativo
dovrà esser reso noto nelle forme già previste dall’art. 13 o dalle linee
guida per internet e posta elettronica;
f) in caso di esternalizzazione del servizio, il provvedimento impone che il
titolare conservi direttamente e specificamente, per ogni eventuale
evenienza, gli estremi identificativi delle persone fisiche preposte quali
amministratori di sistema. Ne deriva un gravoso adempimento a carico dei
provider di tali servizi, che dovranno (questo sembra il senso della
disposizione) fornire all’appaltante un elenco dettagliato ed aggiornato di
tutti i soggetti che curano le attività affidate all'esterno, con tutti i
problemi che ne derivano in termini di turn over del personale addetto;
g) così come è previsto normativamente per la gestione del rapporto
titolare/responsabile, l’amministratore di sistema (a prescindere dal fatto
che sia designato “soltanto” incaricato del trattamento) dovrà essere
soggetto a verifica periodica, con cadenza “almeno annuale”. A compendio di
ciò, gli accessi effettuati da parte dell’amministratore di sistema dovranno
essere registrati, e le registrazioni dovranno avere caratteristiche tali da
consentire di risalire al dettaglio delle operazioni poste in essere dagli
interessati. E’ da vedere con quali strumenti organizzativi e tecnici sarà
possibile dare seguito a tali indicazioni: quello che è certo, è che il
Garante di fatto detronizza il ruolo dell’amministratore, che potrà
continuare (come molti fanno, in preda a deliri di onnipotenza) ad identificarsi
come “zeus”, senza che a ciò corrisponda un effettivo ed incontrollato
dominio sulla gestione del sistema.
Attenzione: per mettersi in linea con questo ventaglio di novità non c’è
molto tempo. Il provvedimento, infatti, prevede che tutti i trattamenti in corso
debbano esser adeguati entro 120 giorni dalla pubblicazione in Gazzetta
Ufficiale, avvenuta il 24 dicembre 2008 (e quindi entro il 23 aprile 2009). Il
contatore, quindi, ha già iniziato a correre alcune settimane fa e, a parte
qualche trafiletto sulla stampa specializzata, non molti se ne erano accorti,
almeno fino alla pubblicazione sulla home page del sito del Garante, avvenuta
soltanto il 14 gennaio 2009.
Ecco, allora, l’ennesima scadenza. Gli ennesimi adempimenti.
|
Pagina stampabile
