Amministratori di sistema: ci siamo messi in regola? Il 30 giugno è vicinissimo e si rischia grosso in caso di mancato adeguamento!
Amministratori di sistema: ci siamo messi in regola?
Il 30 giugno è vicinissimo e si rischia grosso in caso di mancato adeguamento!
A cura del Digital&Law Department – Studio Legale Lisi
^^
Entro il 30 giugno p.v. tutti i Titolari del trattamento (PA, società e liberi professionisti) devono adeguare la propria struttura organizzativa a quanto previsto dal Provvedimento del Garante del 27 novembre 2008 sugli Amministratori di Sistema (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” alla pagina web http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831).
Con tale provvedimento, infatti, si è voluta richiamare l’attenzione di tutti i titolari che trattano dati personali con strumenti elettronici sui rischi che si possono incorrere nell’affidare gli incarichi di amministratore di sistema a soggetti non particolarmente affidabili o competenti.
Se inizialmente si pensava che gli adempimenti da sviluppare fossero particolarmente rigidi, formali e sostanzialmente inapplicabili per molte realtà aziendali (tant’è che è stata avviata anche una consultazione pubblica), grazie alle recenti FAQ del 21 maggio 2009 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#FAQ), si sono potute notare diverse importanti specificazioni e delimitazioni da parte dell’Authority che hanno di fatto ridotto l’impatto di tale provvedimento sulle realtà aziendali e amministrative.
Restano, in ogni caso, numerosi gli adempimenti sia dal punto di vista tecnico/informatico sia da quello organizzativo/legale da adottare entro la scadenza sopra indicata.
Il problema fondamentale per chi non si adegua, infatti, è direttamente collegato alle nuove pesanti sanzioni previste dalla normativa (art. 162 comma 2-ter del Codice sulla protezione dei dati personali) nel caso in cui non vengano rispettate le c.d. “misure c.d. necessarie” emanate dal Garante Privacy ai sensi dell’art. 154, comma 1, lett. c) e d) del Codice (delle quali il provvedimento in esame è diretta espressione), le quali comportano il pagamento di somme comprese tra 30.000,00 e 180.000,00 euro, con possibilità di aggravamento della sanzione nel caso in cui durante l’ispezione dovessero rilevarsi ulteriori omissioni nell’applicazione della normativa..
Ovvio che devono preoccuparsi di applicare con prudenza, attenzione e particolare rigidità questo provvedimento soprattutto coloro che trattano particolari tipologie di dati personali (dati personali sensibili o giudiziari), coloro che gestiscono banche dati elettroniche di particolare rilevanza e – a maggior ragione – coloro che forniscono servizi informatici legati al Document Management (come i Responsabili della Conservazione). Affidereste, infatti, i Vs,. documenti a chi non ha strutturato un adeguato Documento Programmatico sulla Sicurezza e/o non ha sviluppato un idoneo modello organizzativo di controllo sui flussi documentali gestiti?
Il Digital&Law Department dello Studio Legale Lisi, pertanto, è a vostra disposizione per eventuali chiarimenti o richieste di consulenza in merito all’esatta interpretazione del provvedimento sugli Amministratori di Sistema e su come adeguarsi in vista della prossima scadenza.