in collaborazione con
Nyberg
Edizioni CR
La prima banca dati di diritto dell'internet e dell'informatica che si aggiorna grazie al contributo dei suoi visitatori
Scint.it ScintLex.it
Home      E-mail         

Slitta il termine per adeguarsi al provvedimento sugli Amministratori di Sistema!

Slitta il termine per adeguarsi al provvedimento sugli Amministratori di Sistema

 

A cura del Digital&Law Department - Studio Legale Lisi

 

^^^
 

L'Autorità Garante, con un colpo di coda dell'ultimo minuto, ha appena reso pubblica sul proprio sito la notizia di una modifica all'oramai noto provvedimento del 27 novembre 2008 recante "Misure e accorgimenti, prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema".

Le modifiche apportate dal Garante sono frutto della consultazione pubblica avviata un pò di tempo fa in materia. La novità forse più importante e, soprattutto, più attesa dalla maggior parte delle aziende è che il termine per adempiere è stato finalmente prorogato al 15 dicembre 2009.

Tra le novità inserite, si segnala poi la non obbligatorietà dell'indicazione degli estremi delle persone fisiche che ricoprono il ruolo di "amministratore di sistema" all'interno del DPS, essendo sufficiente - per il Titolare o il Responsabile del trattamento - mantenere solo un elenco da tenersi aggiornato e disponibile (magari allegato al DPS) in caso di accertamenti da parte del Garante.

Il compito di conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, tra l'altro, potrà essere delegato anche al Responsabile del trattamento; così come a quest'ultimo potrà essere delegato anche l'obbligo di vigilare sull'operato degli amministratori di sistema o di nominare per iscritto tali soggetti, venendo così incontro a tutti i titolari del trattamento che generalmente non hanno le necessarie competenze tecnico-informatiche per effettuare tali controlli.

Il provvedimento, inoltre, prevede che l'obbligo di rendere conoscibili a tutti i dipendenti, l'identità degli amministratori di sistema (quando l'attività degli stessi riguarda anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori), possa essere assolto anche mediante "procedure formalizzate a istanza del lavoratore".

 

Nel caso di servizi di Amministratori di Sistema in outsourcing il Provvedimento introduce la possibilità che sia il Responsabile esterno e non il Titolare a conservare l'elenco recante gli estremi identificativi delle persone fisiche preposte a tale ruolo.

Ultima novità riguarda la possibilità per il titolare di delegare al responsabile del trattamento i compiti di tenuta dell'elenco degli Ads (punto 2 lett. d) e di verifica del loro operato (punto 2 lett. e) sia attraverso una desinazione ai sensi dell'art. 29 del Codice Privacy sia attraverso opportune clausole contrattuali.

L'attuazione di quanto previsto dal punto 2 lett. d (obbligo di conservare l'elenco degli estremi identificativi delle persone fisiche preposte quali Amministratori di Sistema) e lett. e (verifica delle attività dell'operato degli Amministratori di Sistema) del Provvedimento a nomina degli amministratori di sistema adesso può avvenire, non solo nell'ambito della designazione del responsabile da parte del titolare del trattamento ai sensi dell'art. 29 del Codice, ma anche attraverso "opportune clausole contrattuali" (assumendo così ancora più importanza la fase di predisposizione del contratto di outsourcing informatico).

Rimangono invariati, invece, gli obblighi e le modalità di conservazione dei log di accesso degli amministratori di sistema.

Come consuetudine, il Garante ha deliberato questa decisione a soli pochi giorni dall'entrata in vigore del provvedimento, non curandosi di quanti, attraverso grossi sacrifici organizzativi e soprattutto economici (è noto, infatti, come molte aziende abbiamo di fatto provveduto ad una vera e propria rincorsa all'acquisto di software per adeguarsi al provvedimento), si erano prodigati, in maniera anche affannosa, per arrivare puntuali alla scadenza prevista del 30 giugno.

Forse una decisione presa con un po' di anticipo avrebbe aiutato molte aziende a vagliare meglio ulteriori soluzioni informatiche!  

 
01/07/2009

ScintLex.it

SCiNTinform Circolo dei Giuristi Informatici LavoroPrevidenza.com Convegno Circolo Giuristi Telematici Centro Studi & Ricerche SCiNT Associazione Nazionale per Operatori e Responsabili della Conservazione Sostitutiva scintlex Studio Associato D&L dirittodautore Master in internazionalizzazione e e-business Studio Legale Lisi
 Sito fondato da Andrea Lisi
© Copyright 2018 - ScintLex.it - Tutti i diritti riservati