L’Autorità Garante, con un colpo di coda dell’ultimo minuto, ha appena reso pubblica sul proprio sito la notizia di una modifica all’oramai noto provvedimento del 27 novembre 2008 recante “Misure e accorgimenti, prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”.
Le modifiche apportate dal Garante sono frutto della consultazione pubblica avviata un pò di tempo fa in materia. La novità forse più importante e, soprattutto, più attesa dalla maggior parte delle aziende è che il termine per adempiere è stato finalmente prorogato al 15 dicembre 2009.
Tra le novità inserite, si segnala poi la non obbligatorietà dell’indicazione degli estremi delle persone fisiche che ricoprono il ruolo di “amministratore di sistema” all’interno del DPS, essendo sufficiente – per il Titolare o il Responsabile del trattamento – mantenere solo un elenco da tenersi aggiornato e disponibile (magari allegato al DPS) in caso di accertamenti da parte del Garante.
Il compito di conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, tra l’altro, potrà essere delegato anche al Responsabile del trattamento; così come a quest’ultimo potrà essere delegato anche l’obbligo di vigilare sull’operato degli amministratori di sistema o di nominare per iscritto tali soggetti, venendo così incontro a tutti i titolari del trattamento che generalmente non hanno le necessarie competenze tecnico-informatiche per effettuare tali controlli.
Il provvedimento, inoltre, prevede che l’obbligo di rendere conoscibili a tutti i dipendenti, l’identità degli amministratori di sistema (quando l’attività degli stessi riguarda anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori), possa essere assolto anche mediante “procedure formalizzate a istanza del lavoratore”.
Viene consentito anche ai responsabili esterni di mantenere e conservare direttamente e specificamente gli estremi identificativi delle persone fisiche preposte ai servizi di amministrazione in outsourcing; in tal modo, gli amministratori di sistema in outsourcing non saranno più obbligati a indicare a priori i nominativi dei propri informatici, ma dovranno farlo solo in caso di richiesta di accesso da parte del Titolare.
Ultima novità riguarda la nomina degli amministratori di sistema che adesso può avvenire, non solo nell’ambito della designazione del responsabile da parte del titolare del trattamento ai sensi dell’art. 29 del Codice, ma anche attraverso “opportune clausole contrattuali” (assumendo così ancora più importanza la fase di predisposizione del contratto di outsourcing informatico).
Rimangono invariati, invece, gli obblighi e le modalità di conservazione dei log di accesso degli amministratori di sistema.
Come consuetudine, il Garante ha deliberato questa decisione a soli pochi giorni dall’entrata in vigore del provvedimento, non curandosi di quanti, attraverso grossi sacrifici organizzativi e soprattutto economici (è noto, infatti, come molte aziende abbiamo di fatto provveduto ad una vera e propria rincorsa all’acquisto di software per adeguarsi al provvedimento), si erano prodigati, in maniera anche affannosa, per arrivare puntuali alla scadenza prevista del 30 giugno.
Forse una decisione presa con un po’ di anticipo avrebbe aiutato molte aziende a vagliare meglio ulteriori soluzioni informatiche!
A cura del Digital&Law Department – Studio Legale Lisi
Scrivi un commento
Accedi per poter inserire un commento