Provvedimento amministratori di sistema

Il provvedimento del Garante Privacy del 27/11/2008 impone ai Titolari del trattamento, pubblici e privati, una serie di obblighi sia di tipo organizzativo e sia di tipo tecnico-informatico relativamente alla gestione delle figure di amministratore di sistema:

 - Individuazione, nomina scritta e tenuta di un elenco aggiornato degli amministratori di sistema.

- Obbligo di acquisizione dei log di accesso degli amministratori di sistema e obbligo di conservazione per almeno 6 mesi con modalità che ne garantiscano la completezza, l’inalterabilità e l’integrità.

- Verifica almeno annuale dell’operato degli amministratori di sistema mediante analisi dei log.

 Il termine ultimo per l’adeguamento era il 15 dicembre 2009

Gli amministratori di sistema sono quelle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del provvedimento vengono considerate tali anche altre figure quali gli amministratori di basi di dati, gli amministratori di reti, di apparati di sicurezza e gli amministratori di sistemi software complessi laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali (anche non sensibili). 

Dall’applicazione del provvedimento sono esentati i soli soggetti pubblici e privati che già erano stati oggetto di semplificazione e in particolare quelli che: 

a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;

 b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.

Esempi di soggetti tenuti ad adeguarsi al provvedimento sono:

  • studi professionali (commercialisti, consulenti del lavoro, avvocati, notai, ecc.).
  • pubbliche amministrazioni.
  • centri fiscali e CAF
  • soggetti che operano nell’ambito sanitario
  • soggetti che operano nell’ambito finanziario e bancario
  • aziende di grandi dimensioni di tutti i settori di attività.

Riferimento normativo:

provvedimento a carattere generale del Garante per la protezione dei dati personali del 27/11/2008 dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" e successive modificazioni del 25/06/2009