Il provvedimento del Garante
Con il Provvedimento a carattere generale del 27 Novembre 2008 (pubblicato sulla G.U. del 24 Dicembre 2008) il Garante per la protezione dei dati personali ha prescritto ulteriori misure di sicurezza a carico dei Titolari dei trattamenti effettuati con strumenti elettronici e relativamente alle attribuzioni delle funzioni di amministratore di sistema.
Nella definizione “allargata” di Amministratore di Sistema si devono comprendere altre categorie di figure professionali e di mansioni aziendali: amministratori di banche dati, amministratori di reti ed apparati di sicurezza, amministratori di sistemi software complessi. Le attività tipiche di queste figure aziendali possono comportare dei rischi relativamente alla protezione e sicurezza dei dati personali trattati.
Le nuove misure di sicurezza prescritte dal provvedimento prevedono sia adempimenti di tipo organizzativo che tecnici. In particolare, il Provvedimento richiede che tutti gli accessi ai sistemi debbano essere registrati e conservati e devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.
Il mancato adempimento delle prescrizioni organizzative e tecniche determina inadempienza del Titolare del Trattamento Dati relativamente all’adozione delle misure di sicurezza e l’applicazione di sanzioni amministrative (da 30.000 fino a 180.000 Euro).
Perchè questo provvedimento?
Perchè le ispezioni effettuate in questi anni dall’Autorità Garante hanno permesso di rilevare, in diversi casi, una scarsa consapevolezza da parte delle aziende (grandi e piccole) del ruolo svolto dagli amministratori dei sistemi informativi proprio in merito ai rischi inerenti la protezione dei dati. Un amministratore di sistema, grazie agli impliciti privilegi di cui dispone in origine, può di fatto accedere a dati personali, sensibili e critici e, spesso, senza alcun controllo sul suo operato.
Scarica il Provvedimento del Garante