martedì 24 febbraio 2009

Amministratori di sistema: il Garante proroga al 30 giugno l’applicazione delle nuove misure


Ieri 23 febbraio il Garante privacy ha prorogato al 30 giugno 2009 i termini per l'adozione da parte di enti, amministrazioni pubbliche, società private delle misure tecniche e organizzative che riguardano la figura degli "amministratori di sistema".
Le regole erano state fissate dal Garante con il provvedimento del 27 novembre 2008 che riconoscendo l’importanza e la delicatezza della figura dell’amministratore di sistema nell’ambito della sicurezza informatica ha imposto a tutte le realtà organizzative interessate una serie di prescrizioni che hanno per oggetto questa fondamentale figura.
In effetti il Codice per la protezione dei dati personali ha un po’ trascurato le funzioni dell’amministratore di sistema e difatti nel testo unico non troviamo alcuna definizione, se non minimi riferimenti che sembrano far capo più al responsabile del trattamento.
Evidentemente l’Autorità Garante con questo provvedimento ha inteso colmare la lacuna del codice richiamando l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema ed imponendo agli stessi l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla attività dell’amministratore da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
E’ chiara la preoccupazione dell’Autorità che durante le sue ispezioni ha rilevato che spesso i responsabili della violazioni della normativa non sono soggetti esterni bensì gli stessi amministratori di sistema che godono di un’eccessiva libertà di azione nell’ambito delle organizzazioni.
Di conseguenza il Garante ha previsto che tutte le realtà organizzative devono designare un qualificato amministratore di sistema il cui operato deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Inoltre devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.