A cura del Digital&Law Department – Studio Legale Lisi

^^^
 

L’Autorità Garante, con un colpo di coda dell’ultimo minuto, ha appena reso pubblica sul proprio sito la notizia di una modifica all’oramai noto provvedimento del 27 novembre 2008 recante “Misure e accorgimenti, prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”.

Le modifiche apportate dal Garante sono frutto della consultazione pubblica avviata un pò di tempo fa in materia. La novità forse più importante e, soprattutto, più attesa dalla maggior parte delle aziende è che il termine per adempiere è stato finalmente prorogato al 15 dicembre 2009.

Tra le novità inserite, si segnala poi la non obbligatorietà dell’indicazione degli estremi delle persone fisiche che ricoprono il ruolo di “amministratore di sistema” all’interno del DPS, essendo sufficiente – per il Titolare o il Responsabile del trattamento - mantenere solo un elenco da tenersi aggiornato e disponibile (magari allegato al DPS) in caso di accertamenti da parte del Garante.

Il compito di conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, tra l’altro, potrà essere delegato anche al Responsabile del trattamento; così come a quest’ultimo potrà essere delegato anche l’obbligo di vigilare sull’operato degli amministratori di sistema o di nominare per iscritto tali soggetti, venendo così incontro a tutti i titolari del trattamento che generalmente non hanno le necessarie competenze tecnico-informatiche per effettuare tali controlli.

Il provvedimento, inoltre, prevede che l’obbligo di rendere conoscibili a tutti i dipendenti, l’identità degli amministratori di sistema (quando l’attività degli stessi riguarda anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori), possa essere assolto anche mediante “procedure formalizzate a istanza del lavoratore”.

Nel caso di servizi di Amministratori di Sistema in outsourcing il Provvedimento introduce la possibilità che sia il Responsabile esterno e non il Titolare a conservare l'elenco recante gli estremi identificativi delle persone fisiche preposte a tale ruolo.

Ultima novità riguarda la possibilità per il titolare di delegare al responsabile del trattamento i compiti di tenuta dell'elenco degli Ads (punto 2 lett. d) e di verifica del loro operato (punto 2 lett. e) sia attraverso una desinazione ai sensi dell'art. 29 del Codice Privacy sia attraverso opportune clausole contrattuali.

L'attuazione di quanto previsto dal punto 2 lett. d (obbligo di conservare l'elenco degli estremi identificativi delle persone fisiche preposte quali Amministratori di Sistema) e lett. e (verifica delle attività dell'operato degli Amministratori di Sistema) del Provvedimento a nomina degli amministratori di sistema adesso può avvenire, non solo nell’ambito della designazione del responsabile da parte del titolare del trattamento ai sensi dell'art. 29 del Codice, ma anche attraverso “opportune clausole contrattuali” (assumendo così ancora più importanza la fase di predisposizione del contratto di outsourcing informatico).

Rimangono invariati, invece, gli obblighi e le modalità di conservazione dei log di accesso degli amministratori di sistema.