Il Garante per la privacy ha richiamato l’attenzione di enti, amministrazioni, società private sulla figura professionale dell’amministratore di sistema e ha prescritto l’adozione, entro quattro mesi, di ”specifiche misure tecniche e organizzative” per agevolare la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. Le ispezioni effettuate in questi anni dall’Autorità – ha detto il Garante – hanno permesso di mettere in luce in diversi casi ”una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l’attività di questi esperti sia svolta senza il necessario controllo”. Le misure e le cautele dovranno essere messe in atto entro il tempo stabilito da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. ”Sono esclusi invece – ha precisato – i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati”.
REGISTRAZIONE ACCESSI: Il Garante ha predisposto l’adozione di sistemi di controllo per la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo
periodo, non inferiore a sei mesi
VERIFICA DELLE ATTIVITA’: Almeno annuale da parte dei titolari del trattamento sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e
di sicurezza previste dalla legge per i trattamenti di dati personali.
ELENCO DEGLI AMMINISTRATORI DI SISTEMA E LORO CARATTERISTICHE:
Ciascuna azienda o soggetto pubblico dovra’ inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del
Garante) gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite.
