Gruppo Tesi

Il Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli “amministratori di sistema”, recependo alcune indicazioni pervenute, anche da associazioni di categoria, nel corso della consultazione pubblica conclusasi il 31 maggio.

PROROGA PARZIALE PER GLI ADEMPIMENTI CONNESSI ALLA PROBLEMATICA DEGLI AMMINISTRATORI DI SISTEMA

Con le nuove disposizioni il Garante intende facilitare il corretto adempimento alle prescrizioni impartite, mantenendo comunque elevato il livello di protezione dei dati personali e le garanzie per i cittadini.
L’Autorità, in particolare, ha consentito che gli adempimenti connessi all’individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai titolari, anche dai responsabili del trattamento. Ciò allo scopo di rendere tali obblighi più agevoli per quelle realtà aziendali nelle quali determinati servizi informatici vengano svolti da società esterne.

Di conseguenza – limitatamente alle misure tecniche e organizzative necessarie per quanto richiesto – il termine per l’adozione delle prescrizioni è stato prorogato al 15 dicembre prossimo.

Seguendo i link sottostanti è possibile consultare:

• Testo integrale del provvedimento di proroga del Garante datato 25 giugno 2009
• Testo del provvedimento del GARANTE sugli Amministratori di sistema del 27/11/2008 come integrato/modificato dal provvedimento di cui al punto precedente (in rosso sono evidenziate le modifiche al provvedimento originale)

I sopracitati documenti sono forniti “AS-IS” per una facile consultazione preliminare, si prega di fare riferimento ai relativi documenti in rete sul sito www.garanteprivacy.it per prendere visione della documentazione ufficiale.

Alcuni prime riflessioni “a caldo”, che riprenderemo più avanti in numeri successivi di questa newsletter, dopo le necessarie “meditazioni” sul tema, sono però doverose:

1) Il nuovo provvedimento NON STRAVOLGE il precedente e non ne cambia la sostanza. Apporta chiarimenti e semplificazioni operative consentendo che alcuni adempimenti (tenuta degli elenchi e verifica delle attività) possano essere anche affidati ai responsabili (ai sensi art.29 dlgs.196/2003) oltre che al titolare stesso del trattamento. Questo anche e soprattutto nel caso in cui i servizi di “amministrazione di sistema” siano operati in outsourcing. Potrebbe essere opportuno, in certi casi, definire un trattamento di dati del tipo “Gestione amministratori di sistema”, al cui responsabile , interno o esterno a seconda dei casi, comunque designato ai sensi art.29 d.lgs.196/2003, sono affidate le attività di cui sopra. Queste, ovviamente , sono “idee a caldo” frutto di una prima lettura, che devono essere comunque sviluppate con un minimo di approfondimento in più.

2) Punto 2.f “Registrazione degli accessi” ovvero “Produzione e conservazione dei log” del provvedimento del 27/11/2008. Il nuovo provvedimento non va a correggere/integrare minimamente quanto disposto dal precedente provvedimento del 27/11/2008. Pertanto è ipotizzabile che su questo punto molto delicato (per le implicazioni tecniche di realizzazione) tutto quanto sia stato esplicato nel provvedimento originario e nelle successive FAQ fornite dal Garante.

3) Data di proroga al 15/12/2009. Significativa sembra la scelta della data 15/12/2009 e non ad esempio, come poteva sembrare più naturale, 31 dicembre 2009. La scelta del 15/12 anziché del 31/12 ci ha personalmente suggerito, di primo acchito, che l’attuale proroga si sia resa necessaria per poter effettivamente permettere, alla luce delle recenti FAQ tecniche e degli ultimi chiarimenti, tempi ragionevoli di realizzazione di quanto disposto/precisato (anche alla luce che del fatto che luglio/agosto sono mesi poco operativi per cui per molti vi saranno poco più di 3 mesi, da settembre a metà dicembre, per gestire completamente la problematica). Tuttavia la scelta del 15/12 invece che 31/12, come termine ultimo, sembra suggerire che non ci si devono attendere nuovi rinvii temporali quali ad esempio l’ inclusione della presente problematica nelle pieghe di un decreto “mille proroghe” che vede la luce sempre negli ultimissimi giorni dell’anno.