Avv. Giovanni Maglio

Con provvedimento del 27 novembre 2008, pubblicato in G. U. 300 del 24-12-2008, il Garante per la protezione dei dati personali ha richiamato l’attenzione di tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, circa la peculiare criticità del ruolo che svolgono gli amministratori di sistema, soprattutto sull’esigenza di valutare con particolare attenzione l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l’opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l’incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato.

Infatti, il Garante, nella parte introduttiva del provvedimento, pone l’accento sulla figura dell’amministratore di sistema (ma anche di database e di network) ricostruendo brevemente sia le normative che ne trattano sia il profilo ed i ruoli dell’amministratore di sistema sia i rischi concreti e potenziali che tale figura incontra nel trattare, anche in parti di procedimenti e singole fasi od accidentalmente, dati personali; è stato anche evidenziato come, in molti contesti organizzativi anche di dimensioni apprezzabili, il ruolo di tale figura sia stato e continui ad essere sottovalutato.

Inoltre, ai sensi dell’art. 154, comma 1, lettera c) del Codice, il Garante ha prescritto l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono
minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29, decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 6 novembre 2008):
a) Valutazione delle caratteristiche soggettive.
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29;
b) Designazioni individuali.
La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c) Elenco degli amministratori di sistema.
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non e’ tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai
sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Cio’, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore;
d) Servizi in outsourcing.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
e) Verifica delle attività.
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Per quel che riguarda le scadenze temporali, il Garante ha disposto che le misure e gli accorgimenti di cui al punto 2 siano introdotti, per tutti i trattamenti gia’ iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale, al piu’ presto e comunque entro, e non oltre, il termine di centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all’inizio del trattamento dei dati.

Il testo integrale del suddetto provvedimento è reperibile al seguente link.

Con provvedimento del 13.10.2008, reso noto con comunicato del 05.12.2008, il Garante per la Privacy, dopo una serie di importanti rilievi ed opportune considerazioni, ha richiamato “l’attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate, anche seguendo le procedure di cui all’allegato A);

b. smaltite, anche seguendo le procedure di cui all’allegato B).

Tali misure e accorgimenti possono essere attuate anche con l’ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione delle operazioni effettuate o che si impegnino ad effettuarle.

Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti è comunque tenuto ad assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili”.

Il provvedimento contiene, quindi, due allegati:

l’allegato A) disciplina il “Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche”, attraverso l’indicazione di “Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici” e di “Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici”;
mentre l’allegato B) disciplina lo “Smaltimento di rifiuti elettrici ed elettronici”, prevedendo che in caso di smaltimento di rifiuti elettrici ed elettronici, l’effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali.

La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro tipo, quali:

* sistemi di punzonatura o deformazione meccanica;
* distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
* demagnetizzazione ad alta intensità.

Tale provvedimento (la cui genesi è rinvenibile nell’art. 31 del D. L.vo 196/03 e negli artt. 21 e 22 del disciplinare tecnico) è di estrema importanza pratica oltre che giuridica, dal momento che la rottamazione o la vendita di un pc usato o di supporti di memorizzazione portatili avviene spesso senza la preventiva cancellazione sicura di tutto il contenuto degli stessi, contenuto che può facilmente essere recuperato anche mediante l’utilizzo di programmi di agevole reperibilità in rete.

Seguire attentamente le indicazioni del Garante ed affidarsi a tecnici specializzati ridurrà al minimo il rischio del titolare del trattamento di incorrere nelle conseguenze derivanti dall’inosservanza delle misure di sicurezza che può comportare responsabilità penale (art. 169 del Codice) e, in caso di danni cagionati a terzi, responsabilità civile (artt. 15 del Codice e 2050 cod. civ.).

Il provvedimento è reperibile qui.