Privacy ed amministratori di sistema Misure ed accorgimenti da adottare Domande e risposte
Studio Legale Avv. Stefano Bendandi http://www.stefanobendandi.com http://stefanobendandi.blogspot.com
Indice generale Valutazioni soggettive..................................................................................3 Designazione individuale.............................................................................3 Elenchi............................................................................................................3 Verifiche.........................................................................................................4 Log..................................................................................................................4 Termini di attuazione....................................................................................4 Sezione domande e risposte........................................................................5 Quali figure sono obbligate ad applicare le misure previste ?.........................5 Quali figure rientrano nel concetto di amministratore di sistema ?.................5 Come deve comportarsi il titolare prima di nominare uno o più amministratori di sistema ?...................................................................................5 Con quali modalità deve avvenire la nomina ?...................................................5 Che cosa si intende per verifica dell'operato degli amministratori ?...............6 Quando deve essere effettuata la verifica ?........................................................6 L'attività degli amministratori di sistema deve essere registrata ?..................6 Con quali modalità e garanzie deve essere effettuata la registrazione degli accessi ?..................................................................................................................6
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare
Gli amministratori di sistema svolgono, sempre più spesso, un ruolo specifico nella gestione delle varie componenti del patrimonio informativo e risultano destinatari di livelli privilegiati di accesso alle risorse ed ai dati, compresi quelli di natura personale, essendo coinvolti in molte attività, anche critiche, di trattamento. Da ciò deriva la necessità di inquadrare la loro nomina come un atto di fondamentale importanza, idoneo ad influire sui livelli di sicurezza complessivi di una infrastruttura informatica, così come del resto accade per altre decisioni analoghe, espressione per lo più di una scelta in campo tecnologico. E' questa la convinzione cui è giunta, anche all'esito delle numerose attività ispettive svolte, l'autorità garante della privacy, preoccupandosi di definire con un apposito provvedimento di carattere generale, emanato in data 27 novembre 2008, le misure e gli accorgimenti ritenuti idonei a garantire che la nomina, le attività ed i controlli sull'operato degli amministratori di sistema siano in linea con la specificità del loro ruolo e con le prescrizioni vigenti in materia di protezione dei dati personali. L'ambito di applicazione del provvedimento è circoscritto ai titolari di dati personali che effettuano, anche in parte, il trattamento mediante l'ausilio di strumenti elettronici, con l'esclusione, comunque, dei titolari di dati trattati per le sole finalità amministrative e contabili oggetto dei recenti interventi di semplificazione. Le misure riguardano gli amministratori di sistema e le figure ad essi equiparabili dal punto di vista dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza e di sistemi software).
VALUTAZIONI SOGGETTIVE L'attribuzione dei compiti e delle responsabilità tipiche di un amministratore di sistema presuppone una valutazione preventiva dell'esperienza, delle capacità e dell'affidabilità del soggetto che si intende designare il quale deve, a sua volta, fornire idonea garanzia del rispetto delle disposizioni di legge vigenti anche sotto il profilo della sicurezza. Questo accorgimento non vale soltanto nel caso in cui l'amministratore debba essere designato, contestualmente, come responsabile di uno o più trattamenti, ma anche nell'ambito di una designazione come puro incaricato. Pertanto, vista la specificità e la natura dell'incarico da svolgere, è necessario attenersi sempre a criteri di valutazione analoghi a quelli richiesti per la nomina del responsabile dall'art. 29 del d.lgs. 196/03. In difetto di una idoneità nella valutazione o nei criteri sui quali quest'ultima si basa il titolare può, infatti, incorrere in una responsabilità per incauta designazione (culpa in eligendo).
DESIGNAZIONE INDIVIDUALE La nomina deve avvenire su base individuale ed essere accompagnata dalla indicazione analitica degli ambiti di operatività consentiti dal possesso di un determinato profilo di autorizzazione.
ELENCHI La lista delle persone fisiche designate come amministratori di sistema deve essere riportata in un apposito documento interno mantenuto aggiornato e disponibile in caso di accertamento.
Pag. 3
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare
Inoltre, salvo diverse e contrarie disposizioni di legge, l'identità di queste persone deve essere resa conoscibile dal titolare, nell'ambito della propria organizzazione, quando la loro attività riguardi, anche indirettamente, sistemi o servizi con i quali si trattano dati personali dei lavoratori. Questa forma di pubblicità può essere realizzata in vario modo ed, in particolare, attraverso: • l'informativa di cui all'art. 13 del d.lgs. 196/03 • il disciplinare tecnico adottato in osservanza del provvedimento del garante del 1° marzo 2007 (uso di Internet e della posta elettronica in azienda) • gli strumenti di comunicazione interna come la intranet o la bacheca aziendale, gli ordini di servizio, ecc... Se le funzioni di amministrazione dei sistemi sono devolute all'esterno (cd. outsourcing) il titolare od il responsabile del trattamento devono conservare gli estremi identificativi delle persone fisiche preposte.
VERIFICHE Con cadenza almeno annuale i titolari o responsabili del trattamento devono verificare l'operato degli amministratori di sistema al fine di valutarne la rispondenza alle misure tecniche, organizzative e di sicurezza adottate nel campo della protezione dei dati personali.
LOG Gli accessi ai sistemi di elaborazione ed agli archivi elettronici da parte degli amministratori devono essere tracciati in appositi log elettronici che, in relazione alle finalità di supporto delle verifiPag. 4
che, devono essere dotati di adeguate caratteristiche di completezza, inalterabilità ed integrità. Le registrazioni devono comprendere un riferimento temporale, accompagnato dalla descrizione degli eventi che le hanno generate, ed essere conservate per un congruo periodo non inferiore a sei mesi.
TERMINI
DI ATTUAZIONE
Le misure e gli accorgimenti previsti dal provvedimento dovranno essere adottati entro il 15 dicembre 2009.
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare
SEZIONE
DOMANDE E RISPOSTE
Quali figure sono obbligate ad applicare le misure previste ? Tutti i titolari (o responsabili del trattamento) che trattano dati personali con strumenti informatici ed elettronici, anche se in modo parziale. Sono esclusi i titolari che trattano dati per le sole finalità amministrativocontabili, cioè quelle attinenti alla ordinaria gestione aziendale che non riguardano dati sensibili, giudiziari o di traffico telefonico e telematico. Infine, le prescrizioni relative alla verifica dell'attività ed alla tenuta di log degli accessi non si applicano nei casi limite di titolare che svolga le funzioni di unico amministratore di sistema, come avviene nelle realtà organizzative di dimensioni più ridotte.
Quali figure rientrano nel concetto di amministratore di sistema ? Quelle in possesso di competenze tali da poter essere incaricate della gestione e manutenzione dei sistemi informatici o delle loro componenti (hardware e software). Nella stessa definizione rientrano anche le figure equiparate che svolgono una attività di gestione e manutenzione che presenta dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza, di software, ecc...), mentre ne sono esclusi i soggetti che solo occasionalmente intervengono per scopi di manutenzione sui sistemi di elaborazione e sui sistemi software.
Come deve comportarsi il titolare prima di nominare uno o più amministratori di sistema ? Innanzitutto, anche se può sembrare banale, è opportuno verificare che la nomina risponda ad una esigenza effettiva. In secondo luogo occorre valutare l'idoneità a ricoprire l'incarico da parte del soggetto da designare. I criteri per compiere questa valutazione sono gli stessi previsti per la nomina del responsabile del trattamento. Questo vuol dire quindi che l'esperienza, la capacità e l'affidabilità del candidato devono costituire una garanzia del rispetto delle disposizioni del codice della privacy, compreso l'aspetto attinente la sicurezza dei dati. Se questa valutazione manca o avviene in modo superficiale si può anche incorrere in una responsabilità per incauta designazione, nel caso in cui il soggetto designato non sia poi in grado di garantire, nei limiti delle proprie funzioni, il livello di protezione dei dati che è lecito attendersi.
Con quali modalità deve avvenire la nomina ? E' opportuno che sia documentata e che contenga una indicazione precisa delle funzioni e dei compiti attribuiti all'amministratore (così come avviene per il responsabile del trattamento). E' sufficiente a tale riguardo specificare l'ambito di operatività attribuito per settori o aree applicative, senza dover entrare nei dettagli dei singoli sistemi. In questo modo si garantisce una sufficiente chiarezza sull'ambito di esigibilità della prestazione professionale riPag. 5
Privacy ed amministratori di sistema: misure ed accorgimenti da adottare
chiesta.
Che cosa si intende per verifica dell'operato degli amministratori ? Significa accertare che l'attività svolta dagli amministratori sia conforme non soltanto alle mansioni attribuite, ma anche alle misure tecniche, organizzative e di sicurezza previste dalla legge in materia di protezione dei dati personali. La verifica fa sì che il titolare possa considerarsi diligente nell'effettuazione dei controlli. Tra i criteri di controllo può essere ricompresa anche l'analisi dei log degli accessi.
Quando deve essere effettuata la verifica ? Quando si reputa opportuna, anche in relazione alle dimensioni ed alla complessità dell'organizzazione di riferimento e, comunque, con cadenza almeno annuale.
L'attività degli amministratori di sistema deve essere registrata ? Soltanto quella che comporta un accesso ai sistemi ed agli archivi elettronici (database) attraverso i quali si trattano, anche indirettamente, dati personali. L'accesso cui si fa riferimento è quello che avviene tipicamente sulle postazioni client e server, basato su procedure di autenticazione informatica, il cui risultato sia un evento positivo (success) o negativo (failure).
Pag. 6
Non vanno, invece, registrati i dati derivanti dalle interazioni dell'utente (comandi, transazioni, ecc....), così come l'accesso agli applicativi software, nei limiti in cui quest'ultimo avvenga sulla base di appositi profili di autorizzazione.
Con quali modalità e garanzie deve essere effettuata la registrazione degli accessi ? Le registrazioni (record) devono contenere l'indicazione della data/ora (timestamp) e la descrizione dell'evento che le genera (login, logout, errore, ecc...) e soddisfare gli ulteriori requisiti della completezza, inalterabilità e verifica della integrità. L'inalterabilità può essere ottenuta mediante la semplice esportazione dei dati su supporti non scrivibili (worm, write once read many) o con sistemi più complessi. La verifica dell'integrità dei dati può invece richiedere l'utilizzo di appositi algoritmi crittografici (cd. funzioni di hash, come md5, sha1, ecc....). A seconda delle dimensioni, della complessità della infrastruttura IT e dell'analisi dei rischi, l'adozione di queste ed altre misure può comportare uno sforzo organizzativo e tecnologico non indifferente. Le registrazioni vanno infine conservate per un periodo minimo di 6 mesi.