COMMENTO: Gli adempimenti privacy entro il 30 giugno

di Elena BassoliCosa cambia nella privacy per gli avvocati:

la nomina degli amministratori di sistema e la tenuta dei file di log

di Elena Bassoli – Avvocato in Genova

Scadono il 30 giugno i termini per gli adempimenti  privacy introdotti dal Garante della protezione dei dati personali con il Provvedimento “Amministratori di Sistema (ADS) ” del 27 novembre 2008, pubblicato nella G.U. n. 300 del 24 dicembre 2008.

Il provvedimento introduce nuove misure di sicurezza a carico di tutti coloro (quindi anche professionisti e imprese) che trattano dati altrui (es. Clienti, dipendenti e fornitori) per mezzo di strumenti elettronici e che si aggiungono a quelle già annoverate  nell’Allegato B del Codice per la protezione dei dati personali (d. lgs. 196/2003). La ratio è da rinvenirsi nella ritenuta opportunità  di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali.

Gli amministratori di sistema

Pertanto, allo stato attuale della disciplina, tutti i trattamenti elettronici di dati, diversi da quelli svolti per meri fini amministrativi-contabili, obbligano il titolare del trattamento a designare, per iscritto, la figura dell’amministratore di sistema (ADS) addetto alla gestione ed alla manutenzione degli impianti di elaborazione con cui vengono effettuati i trattamenti di dati personali, valutando le caratteristiche di esperienza, capacità e affidabilità del soggetto che si intende designare, il quale deve fornire idonea garanzia del rispetto e quindi della conoscenza delle disposizioni in materia. La designazione dell’amministratore di sistema deve avvenire individualmente, elencando analiticamente gli ambiti di operatività consentiti in base al profilo assegnato.

L’amministratore di sistema è una  figura professionale finalizzata alla gestione e manutenzione di un impianto di elaborazione o di sue componenti, oltre ad altre figure che svolgono funzioni analoghe od equiparabili dal punti di vista dei rischi relativi alla protezione dei dati (amministratori di base di dati, amministratori di reti e di apparati di sicurezza ecc).

L’attività dell’ADS comporta l’accesso, anche fortuito, a informazioni che rappresentano a tutti gli effetti un trattamento di dati personali. Anche nel caso di un solo PC in azienda e un solo ADS, egli potrebbe effettuare trattamenti che ricadono nelle garanzie del provvedimento; la fattispecie è ovviamente da valutare caso per caso. Oltre a ciò il titolare del trattamento dovrà quindi indicare gli estremi identificativi (nome, cognome, funzione o area organizzativa di appartenenza) dell’amministratore di sistema nel DPS. Se l’attività dell’ADS dovesse comportare, anche solo indirettamente, il trattamento di informazioni di carattere personale dei lavoratori, essi devono essere informati su tale circostanza e sull’identità dell’amministratore di sistema  tramite l’informativa ex art. 13, o mediante il regolamento per l’utilizzo dei sistemi informativi.

Accanto all’obbligo di nomina dell’amministratore di sistema il provvedimento del 27 novembre 2008 introduce l’obbligo per il titolare di verificare, con cadenza almeno annuale, l’operato dell’amministratore di sistema, in modo da controllare la rispondenza alle istruzioni impartite per settori o per aree applicative, nell’esercizio delle sue funzioni sotto il profilo della conformità alle mansioni attribuite, compreso il profilo della sicurezza. In questo senso l’analisi dei file di log deve ritenersi un indice attendibile dei criteri di valutazione dell’operato degli ADS.

La tenuta dei file di Log

Il titolare deve inoltre provvedere ad adottare idonei sistemi di registrazione degli accessi logici da parte dell’ADS. Le registrazioni devono essere conservate per almeno 6 mesi e devono avere le caratteristiche di completezza, inalterabilità, possibilità di verifica della loro integrità, adeguatezza allo scopo di verifica per cui sono richieste.

Vanno quindi registrati gli accessi, ma anche i tentativi di accesso e le disconnessioni ai sistemi di elaborazione (non solo al server ma anche ai client) a software e data base. Una raccolta di informazioni più ampia non è richiesta ai fini del provvedimento ma certamente non è in contrasto con esso. Le registrazione devo comprendere tutti gli eventi di accesso, tentativi di accesso e di sconnessioni, mentre le registrazioni non devono essere modificabili; così ad esempio devono ritenersi insufficienti i file di log in txt, propri dei sistemi windows, poiché non dotati del carattere dell’inalterabilità né dell’integrità. Rientra nella valutazione discrezionale del titolare l’opportunità dell’utilizzo di strumenti aggiuntivi.

Questi strumenti servono per determinare ed evidenziare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi oggetto dell’accesso)..

Elenco degli adempimenti attuali:

Le recenti novità in materia impongono a tutti i titolari di trattamenti elettronici di adottare i seguenti adempimenti:

– informativa clienti, fornitori e dipendenti;

– acquisizione del consenso preventivo e specifico dell’interessato, salvi i casi di esenzione di cui all’art. 24 del Codice;

– adozione delle misure minime di sicurezza indicate dettagliatamente nell’Allegato B al Codice e redazione del Documento Programmatico sulla Sicurezza dei dati in caso di trattamento elettronico di dati sensibili e giudiziari con relativo obbligo di aggiornamento annuale entro il 31 marzo di ogni anno;

– adozione di un regolamento recante un disciplinare interno sull’uso di internet e della posta elettronica aziendale da parte dei dipendenti e programmazione della relativa attività di verifica;

– designazione dell’Amministratore di Sistema, istruzioni operative e programmazione della relativa attività di verifica.

Le modifiche all’impianto sanzionatorio

Il 27 febbraio 2009 è stato convertito in legge (Legge n.14/2009) il decreto “milleproroghe” (n. 207 dello scorso 30 dicembre 2008, recante  “Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti”, contenente alcune importanti modifiche al decreto legislativo n.196 del 30 giugno 2003 riguardanti le “Disposizioni in materia di tutela della riservatezza” (Art. 44).

La nuova legge ha introdotto importanti novità:

1. Inasprimento delle sanzioni pecuniarie relative agli illeciti amministrativi, ad esempio per “omessa o inidonea informativa” e per “omessa collaborazione con il Garante”. Le pene vengono quasi sempre raddoppiate rispetto alla 196/2003.

Per “omessa o inidonea informativa” (Art. 13) è ora prevista una sanzione tra i 6.000 e i 36.000 euro, mentre per chi cede dati in violazione di legge (Art.16) la sanzione è ora tra i 10.000 euro e i 60.000 euro.

2. Introduzione di nuove fattispecie di illeciti amministrativi: “violazione delle misure minime di sicurezza e trattamento illecito dei dati” ed “inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto”.

Ma ciò che maggiormente rileva ai fini degli obblighi di nomina degli amministratori di sistema e tenuta dei file di log sono i due commi introdotti all’interno dell’art. 162 del d.lgs. 196/2003

2-bis: In caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza (e la nomina degli amministratori di sistema e la tenuta dei file di log sono misure minime di sicurezza) o di violazione della normativa in tema di corretto trattamento dei dati viene applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 20.000 euro a 120.000 euro. Nei casi di cui all’articolo 33 (vale a dire misure minime di sicurezza)  è escluso il pagamento in misura ridotta.

2-ter: In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto viene introdotta una sanzione amministrativa tra 30.000 e 180.000 euro.

Questa voce è stata pubblicata in Commento, Legge sulla privacy e contrassegnata con , , , . Contrassegna il permalink.