sabato 14 novembre 2009

A breve diventerà obbligatoria la nomina degli amministratori di sistema


Il 15 dicembre scadono i termini per l’adempimento di individuazione e nomina degli amministratori di sistema. Un obbligo che implica l’adozione di iniziative tecniche ed organizzative e che per la sua complessità è già stato oggetto di un “rinvio” da parte del Garante.
Riguardo la descrizione dell’amministratore di sistema, i suoi compiti e la nomina rinvio al mio post http://micheleiaselli.blogspot.com/2009/06/amministratore-di-sistema-una-scheda.html dove ho anche reso disponibile una scheda descrittiva ed un semplice atto di designazione.
Vorrei invece soffermarmi sulla verifica dell’attività degli amministratori di sistema oggetto di diverse richieste al sottoscritto.
Il provvedimento del Garante, devo dire molto ermetico, al punto e) dice: "l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti".
In effetti questo punto va letto in stretto collegamento con quello successivo che parla di registrazione degli accessi logici degli amministratori di sistema. Difatti è grazie a quest’ultima che sarà possibile accertare che le attività svolte dall'amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.
Ma come fare in concreto questa verifica?
Una buona idea potrebbe essere quella di predisporre un registro sul quale riportare gli estremi e gli esiti di ogni verifica annuale (ad esempio data, ora, numero di accessi individuati, risultanze, ecc.). Nel caso poi vi siano dubbi su alcune operazioni svolte dall'amministratore si provvederà a contestargli formalmente per iscritto quanto accertato e si potrà anche procedere ad una verifica congiunta.