domenica 28 giugno 2009

Prorogati i termini per l’adempimento delle prescrizioni sull’amministratore di sistema


L’Autorità Garante per la protezione dei dati personali con provvedimento del 25 giugno 2009 ha prorogato per l’ennesima volta al 15 dicembre 2009 i termini per l’adempimento delle prescrizioni di cui al provvedimento generale del 27 novembre 2008 ma cosa ancor più importante ha introdotto alcune importanti modifiche.
Le modifiche del provvedimento del 27 novembre 2008 assumono una particolare rilevanza proprio dal punto di vista operativo.
Difatti in primo luogo viene meno l’obbligo di inserire il nominativo dell’amministratore di sistema nel documento programmatico sulla sicurezza. Basterà realizzare un semplice documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante, dove verrà indicato l’amministratore di sistema.
In secondo luogo sia per i servizi di outsourcing che per la verifica delle attività si affianca alla previsione del titolare del trattamento quella del responsabile del trattamento che può sostituirsi al titolare anche in questa specifica attività. In particolare si chiarisce che il titolare del trattamento può nell’ambito della designazione del responsabile ai sensi dell’art. 29 del Codice attribuire allo stesso queste specifiche mansioni correlate all’attività dell’amministratore di sistema.
Sinceramente comprendo poco l’opportunità della prima modifica. Anche se è chiaro l’intento del Garante di tener ben distinta la figura dell’amministratore di sistema dalle altre figure soggettive previste dal Codice, sarebbe stato più logico e rispondente ad esigenze di completezza ed organicità prevedere almeno l’inserimento del nominativo dell’amministratore di sistema nel DPS.
Da condividere invece la seconda modifica che puntualizza maggiormente le specifiche funzioni del responsabile del trattamento, qualora non venga identificato nello stesso amministratore di sistema.