23 Novembre 2009
Amministratori di sistema: il 15 dicembre è vicino
Il 15 dicembre scadono i termini per l’adempimento di individuazione e nomina degli amministratori di sistema. Un obbligo che implica l’adozione di iniziative tecniche ed organizzative e che per la sua complessità è già stato oggetto di un “rinvio” da parte del Garante. Cerco di rispondere adesso ad alcune domande molto frequenti in materia.
Chi è l’amministratore di sistema?
L’Amministratore di sistema viene definito dal provvedimento dell’Autorità Garante del 27 novembre 2008 come una figura professionale destinata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. La definizione un po’ troppo generica è stata successivamente meglio inquadrata dall’Autorità con la pubblicazione delle FAQ dove ha precisato che alla gestione e manutenzione degli impianti di elaborazione va associato lo specifico trattamento di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. In altri termini la figura dell’amministratore di sistema è necessaria qualora vi sia una condivisione in rete di archivi contenenti dati personali. In caso contrario non ha ragione di esistere. Nell’ambito della figura degli amministratori di sistema rientrano anche gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Ma in concreto chi può essere nominato amministratore di sistema?
In realtà non viene creata una nuova figura nell’ambito del trattamento dei dati personali, ma con amministratore di sistema si intende una mansione specifica altamente specializzata che può essere attribuita ad un responsabile o ad un incaricato purché sia una designazione di carattere individuale. Nello specifico sembra più opportuno che tale figura sia attribuita ad un incaricato del trattamento di dati personali, perché spesso il responsabile del trattamento è il capo del centro elettronico o della struttura informatizzata, cui l’azienda si appoggia. E’ naturale, quindi, che a fianco di questo responsabile, operi un incaricato, che ad esempio può costruire i privilegi di accesso ai dati, secondo le istruzioni che vengono impartite dai responsabili coinvolti.
Come si verifica l’attività dell’amministratore di sistema?
Il provvedimento del Garante, devo dire molto ermetico, al punto e) dice: “l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti”. In effetti questo punto va letto in stretto collegamento con quello successivo che parla di registrazione degli accessi logici degli amministratori di sistema. Difatti è grazie a quest’ultima che sarà possibile accertare che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.
Ma come fare in concreto questa verifica?
Una buona idea potrebbe essere quella di predisporre un registro sul quale riportare gli estremi e gli esiti di ogni verifica annuale (ad esempio data, ora, numero di accessi individuati, risultanze, ecc.). Nel caso poi vi siano dubbi su alcune operazioni svolte dall’amministratore si provvederà a contestargli formalmente per iscritto quanto accertato e si potrà anche procedere ad una verifica congiunta.
Scritto il 24-11-2009 alle ore 16:46
Chiarissime ed esaurienti le sue risposte alle FAQ sulla prima parte del provvedimento del Garante del 27 novembre 2008; ma sulle questioni “tecniche” cosa mi può dire?
Mi riferisco in particolare al punto 4.5 (Registrazione degli accessi) del provedimento, che dispone che: “Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.”
Nessun fornitore di SW interpellato dai miei clienti ha una soluzione “certificata” che risponda alle prescrizioni del Garante e, in ogni caso, ogni fornitore spaccia la sua soluzione tecnica per buona; però alla richiesta di poter acquistare un software che sia coerente rispetto alle specifiche del Garante, i fornitori non danno alcuna garanzia in merito…
Come la vede la questione?
Scritto il 24-11-2009 alle ore 17:21
La questione anzi le questioni le vedo male
anche io ho condotto un’indagine presso diversi fornitori ed effettivamente le soluzioni fornite non sono in linea con quanto prescritto dal Garante. Il vero problema è che l’Autorità delle volte si spinge su considerazioni tecniche un pò “audaci” senza effettuare riscontri sul mercato. Ho notato uguali problemi nel provvedimento sulla cartella sanitaria elettronica.
Scritto il 24-11-2009 alle ore 17:36
Il vero problema è che l’Autorità delle volte si spinge su considerazioni tecniche un pò “audaci” senza effettuare riscontri sul mercato. Ha perfettamente ragione!! Non è la prima volta che il Garante “pontifica” ma si dimostra assolutamente “scollato” dalla realtà quotidiana… e questo scollamento purtroppo si riflette sugli interpreti e sugli operatori che cercano di indirizzare le imprese nella giusta direzione.
Ultimamente ho sentito da parte delle imprese mie clienti soluzioni tecniche tra le più fantasiose e, come me, penso che le abbiano sentite anche gli “esperti” dell’Autorità; ma questi si sono guardati bene dal dare una interpretazione PRECISA nelle loro risposte alle FAQ pubblicate a giugno.
Mi domando: ma poi “qualcuno” controllerà o, come al solito, si minacciano pesanti sanzioni e poi…. ?!!
Scritto il 24-11-2009 alle ore 17:58
No mi creda ed è questo il problema le sanzioni vengono effettivamente inflitte!!! E sono severe!! Ho dovuto aiutare amici che si sono trovati davvero in difficoltà e devo dire che fortunatamente in qualche caso l’Autorità accoglie almeno parzialmente le contro-deduzioni alla contestazione iniziale.
Scritto il 24-11-2009 alle ore 17:58
Si vede che il Garante non sapeva che fare quel giorno… Un altro adempimento assolutamente inutile; soggetto peraltro già presente negli organigrammi per le aziende di una certa dimensione che effettivamente dispongono di un Amministratore di rete, mentre per le piccole aziende può coincidere con il titolare o semplicemente con il collaboratore un può più sveglio in ambito informatico senza incarichi formali o capacità particolarmente elevate…
Buona serata a tutti.
LL
Scritto il 24-11-2009 alle ore 18:11
Bè su questo devo dissentire. Il provvedimento si è reso necessario perché molti amministratori di rete sfruttavano i loro privilegi per danneggiare le aziende per cui si è dovuta istituire una modalità di controllo al loro operato. Purtroppo quando si vanno a definire giuridicamente le figure soggettive e si fissano avventati parametri tecnici per eseguire le verifiche sorgono i problemi
Scritto il 27-11-2009 alle ore 12:07
Non mi pare che debbano essere fatte tante critiche all’autority per questo provvedimento, certamente va migliorato con l’aiuto degli operatori, ma di certo è servito per evitare che moltissimi titolari facessero assumere responsabilità a dipendenti, impiegati come amministratori di sistema , senza che questi avessero le capacità professionali per attendere a questa delicata mansione.
Probabilmente questa norma servirà a creare molti posti di lavoro , stante la specializzazione richiesta e la possibilità di utilizzare risorse esterne in outsourcing , chiaramente gli operatori sanno che trattano una materia che è considerata attività pericolosa e che ai sensi del 2050 c.c. dovranno dimostrare di aver applicato le misure idonee a fare in modo che il danno non si verifichi , probabilmente l’autority dovrà mettere mano di nuovo a questa delibera per fare in modo che le aziende che decidono di applicare la 231/01 si trovino nella condizione d sapere quali misure idonee adottare per i reati previsti dalla stessa. ad maiora Giulio
Scritto il 2-12-2009 alle ore 20:30
In questi ultimi mesi ho ricevuto decine di proposte di software più o meno conosciuto per la raccolta dei log da network, server, database.
Pensare, per ognuno dei dispositivi designati, di dover inserire username nominativi, e di doverli gestire, mi fa già pensare a quanto tempo andrà buttato per garantire il rispetto della legge.
Una sola azienda ha proposto, come soluzione, l’utilizzo di un software Single Sign On che memorizza su un log chi fa il login/logout sull’oggetto controllato per adempiere alla legge. Ovviamente con timestamp. L’applicazione prevede che il software, in autonomia, scelga la password dell’unico username autorizzato ad entrare come amministratore sui dispositivi. Così nessuno sarebbe in grado di entrare senza passare per il SSO che viceversa registrerebbe nominalmente chi entra facendo da ponte.
Sembrerebbe l’uovo di Colombo per fare tutto in modo semplice senza caricarsi di un fardello di log preso da tutti i sistemi amministrati. Dov’è quindi la falla di questa soluzione visto che nessuno tranne uno la propone? Grazie. Massimo.
Scritto il 2-12-2009 alle ore 21:35
Effettivamente la soluzione sembra talmente semplice!!! Ma mi domando e vi domando tale soluzione andrebbe bene anche nel caso in cui la registrazione degli accessi è relativa ai DBMS?
Scritto il 5-12-2009 alle ore 18:24
Personalmente penso di si in quanto il Single Sign On cattura lo schermo di qualsiasi utility e si può istruire. Quindi, prendo l’utility con cui accedo nel DBMS per fare query estemporanee o modifiche di dati, la istruisco per dare automaticamente user/password che io nel futuro non conoscerò e ci accedo. E’ chiaro che potrò amministrare i sistemi solo dai computer che hanno a bordo il software di Single Sign On.
Scritto il 15-12-2009 alle ore 12:44
Quindi, da quanto ho capito, anche il Responsabile del Trattamento può essere designato ad Amministratore di Sistema… ciò significa che non è “Amministartore di Sistema”, per definizione, in quanto già nominato Responsabile del Trattamento (e nel mio specifico caso anche designato a ricoprire l’incarico di amministratore delle procedure informatiche dal titolare)? e per tanto anche il Responsabile deve essere designato a ricoprire il ruolo di Amministatore di Sistema in modo individuale con l’elencazione analitica degli ambiti di operatività consentiti?
Grazie dell’aiuto
Scritto il 15-12-2009 alle ore 15:37
Si, è sempre necessaria una designazione specifica, ma non sarebbe saggio a mio avviso nominare ads il responsabile del trattamento pur non essendo escluso dai provvedimenti del Garante. La ragione è evidente: l’ads è una figura specifica principalmente di carattere tecnico soggetto a verifica annuale da parte del titolare. Il responsabile del trattamento è il personaggio di fiducia del titolare sull’applicazione di tutta la normativa in materia di privacy con competenze tra l’altro molto ampie, farvi rientrare anche l’ads mi sembra un pò troppo.
Scritto il 15-12-2009 alle ore 16:17
Condivido l’opinione di Iaselli. L’ADS è e deve rimanere una (importante) figura di carattere tecnico, che solo incidentalmente “tratta” dati personali (ad es. ne può prendere visione durante le operazioni di manutenzione dei data base), ma il cui incarico specifico è quello di garantire l’operatività del sistema e delle sue componenti. Ben diversa è la figura del “Responsabile del trattamento” delineata dall’art. 29 del Codice, il quale è delegato dal titolare del trattamento a presidiare alcuni specifici trattamenti di dati personali a lui affidati, garantendo il pieno rispetto delle misure predisposte dal titolare stesso per garantire la privacy degli interessati e la sicurezza dei dati trattati.
In un’azienda è frequente che siano nominati “responsabili del trattamento” i vari responsabili di funzione interni(Personale, Amministrazione, Commerciale, ecc.), ovvero esteni (medico del lavoro, consulente del lavoro, ecc.); ma è piuttosto infrequente che il responsabile interno dell’EDP o la software house esterna che amministra il sistema informatico siano nominati “responsabili”.
Tuttalpiù l’ADS potrebbe essere nominato “Responsabile della sicurezza del trattamento dei dati”, con il compito di garantire e presidiare la corretta applicazione all’interno del’organizzazione delle misure di sicurezza per il trattamento dei dati (specialmente quelle logiche).
Scritto il 12-1-2010 alle ore 18:58
Posso nominare Amministratore di sistema una Società che gestisce in outsourcing il sistema informatico della mia azienda.
Detta società risulterebbe quindi responsabile del trattamento dei dati e Amministratore di sistema.
La mia azienda chiderebbe poi a detta Società l’elenco delle persone che accedono ai miei sistemi come ADS
E’ corretto ?
Scritto il 12-1-2010 alle ore 19:53
Lei può senza dubbio nominare ADS la società che gestisce il sistema informatico della sua azienda, la quale, per ottemperare al provvedimento del Garante del novembre 2008 dovrà comunicarle i nominativi delle persone fisiche (i suoi tecnici) che materialmente hanno accesso ai dati dei quali è titolare la sua azienda.
Attenzione che l’ADS non è automaticamente “responsabile(esterno) del trattamento” ex art. 29 del Codice! Legga bene ciò che ho scritto nel mio commento n.13.
Scritto il 12-1-2010 alle ore 20:52
Devo dire di non essere molto d’accordo da un punto di vista strettamente giuridico con questa affermazione di Polacchini. In realtà è possibile nominare la società responsabile del trattamento dei dati, ma la designazione del o degli amministratori di sistema deve essere individuale e dal combinato disposto dei punti b e c del provvedimento del Garante è opportuno che la designazione riguardi persone fisiche. Comunque nella sostanza non cambia molto perché si può chiedere alla società già responsabile del trattamento di individuare l’ads tra i propri collaboratori.
Scritto il 13-1-2010 alle ore 08:56
Probabilmente non mi sono spiegato bene Iaselli.
Io non ho detto che NON si possa nominare la software house che gestisce il sistema informatico aziendale quale “responsabile del trattamento” (salvo specificare di quali banche dati/trattamenti di dati essa è “responsabile”); ma ho solo detto che se è stata nominata una Società esterna quale ADS essa NON è “automaticamente” responsabile del trattamento dei dati dell’azienda(di quali poi? di tutti?). Per nominare un “Responsabile” (che oltretutto è una figura facoltativa) ai sensi dell’art. 29 occorre una designazione formale e individuale.
E’ chiaro poi che se ho nominato ADS la software house questa, per rispettare il provvedimento del Garante, dovrà indicarmi quali sono le pesone fisiche che materialmente amministrano il sistema informatico della mia azienda (ossia i tecnici informatici suoi dipendenti che seguono materialmente la mia azienda; tecnici che in una SH sono soggetti a frequente turn over).
L’azienda titolare del trattamento dei dati NON può nominare direttamente come ADS i singoli “dipendenti” di un’altra società: il rapporto contrattuale è solo tra azienda titolare del trattamento dei dati e software house nominata ADS dell’azienda. Poi sarà la SH a dover individuare i propri dipendenti che materialmente amministrerannno il sistema informatico dell’azienda cliente e a comunicare al cliente i loro nominativi.
Spero di essere stato chiaro….
Scritto il 13-1-2010 alle ore 16:01
Per la verità il concetto è sempre stato chiaro, difatti la mia è stata solo una precisazione di carattere formale che non cambia nulla nella sostanza. Ciò che andava chiarito è che prima facie l’azienda non può essere nominata ads in quanto tale. Per il resto siamo perfettamente d’accordo.
Scritto il 15-1-2010 alle ore 11:33
Vi ringrazio per le risposte decisamente esaurienti. Ho tuttavia alcuni dubbi sui seguenti aspetti:
1) la società in outsourcing può nominare più amministratori per un solo ambito informatico oppure deve essere unico
2) l’amministratore di sistema può essere nominato per più ambiti informatici
3) La società in outsourcing deve comunicare al Società Titolare dei dati il nome degli ammnistratori in aggiunta alle relative user e password assegnate ?
Grazie
Scritto il 17-1-2010 alle ore 16:44
Il provvedimento dell’Autorità Garante dispone che la designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Inoltre specifica di riportare gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, in un documento interno.
Da ciò si ricava che la funzione di amministratore di sistema può essere affidata a più persone per garantire la ridondanza della stessa, così come essa può essere affidata a più persone con profili e ruoli parzialmente o totalmente diversi per la gestione separata delle singole aree dell’infrastruttura (server, postazioni di lavoro, rete, database, backup, sicurezza, ecc.). In questo secondo caso la suddivisione può derivare o dalla diversa competenza richiesta o dall’esigenza di differenziare e limitare l’accesso alle risorse informatiche da parte dei singoli amministratori.
Quindi non suddistono motivi ostativi a parere del sottoscritto in merito alle prime due possibilità.
Sicuramente poi la società in outsourging dovrà comunicare al Titolare gli estremi identificativi degli amministratori di sistema.
Scritto il 30-1-2010 alle ore 21:46
Provate questo sito, molte info e soluzioni
Scritto il 12-2-2010 alle ore 15:35
Chiedo il vostro parere sulla seguente situazione:
La società “A” ha un contratto di outsoucing del sistema informatico con la Società “B”.
La Società “B” a sua volta ha affidato alla Società “C” , tramite apposto contratto, la gestione dei sistemi informatici tra i quali anche quelli della Società “A” (tra “A” e “C” non vi è alcun rapporto
Per gli Amministratori di sistema: La Società “A” nomina amministratore di sistema la società “B” e a sua volta quest’ultima nomina la “C” ?
Quindi la B comunicherà alla A che i sistemi informatici vengono gestiti con la collaborazione dalla Società C e l’elenco degli Amministratori che viene inviata alla “A”sarà quella della Società “C” ?
GRazie
Scritto il 14-2-2010 alle ore 11:42
No, non ci siamo. La soluzione è molto più semplice: la società A ha l’obbligo di nominare gli amministratori o l’amministratore di sistema e non può nominare la società B come Ads ma chiederà alla società B uno o più nominativi di tecnici da nominare Ads. Quindi la società A provvederà a nominare direttamente quei tecnici come Ads. Alla società A importa poco dei rapporti fra la società B e C, per cui i tecnici potranno essere o della società B o C. Saluti
Scritto il 14-2-2010 alle ore 16:52
Grazie
E’ quindi sbagliato nominare ADS la società outsorcing.
Alcune aziende stanno adottando questo sistema. Nominato la Società outsourcing ADS e chiedono l’elenco degli amministratori di sistema che hanno accesso ai loro server
Altre invece nominano direttamente gli amministratori di sistema della società in outsourcing Anche se in questo ultimo caso mi chiedo quale valutazione possa esserci alla base della nomina se il dipendente è di un altra Società ?
Scritto il 14-2-2010 alle ore 20:58
Il fatto è che l’Ads non va equiparato all’incaricato, per cui basta che abbia quei requisiti di conoscenza del sistema, competenza ed affidabilità richiesti dal Garante ed anche se professionista esterno o tecnico di altra società può essere tranquillamente nominato Ads.
Scritto il 19-2-2010 alle ore 16:23
In azienda stanno arrivando degli atti di nomina a responsabile del trattamento dei dati personali con i quali viene affidato a noi l’incarico di attribuire ai nostri dipendenti che gestiscono il sistema informatico per altre aziende, le funzioni di amministratore di sistema e di tenere per conto del Titolare , l’elenco aggiornato delle persone fisiche designate.
Non dovrebbe essere l’azienda per la quale gestiamo il sistema informatico a chiderci i nominativi e a redigere gli atti di nomina di amministratore ?
Scritto il 19-2-2010 alle ore 17:31
A mio parere (chiedo conferma a M. Iaselli….) come ho già scritto in gennaio, se la mia azienda “titolare del trattamento dei dati” ha nominato formalmente amministratore del proprio sistema una software house, questa, per rispettare il provvedimento del Garante, dovrà indicarmi quali sono le pesone fisiche che materialmente amministrano il sistema informatico della mia azienda, cioè i nominativi dei tecnici informatici suoi dipendenti che materialmente gestiscono il sistema informatico della mia azienda (tecnici che in una SH sono soggetti a un frequente turn over).
L’azienda titolare del trattamento dei dati - a mio avviso - non può nominare direttamente come ADS i singoli “dipendenti” di un’altra società. Questo perchè il rapporto contrattuale è solo tra la mia azienda titolare del trattamento dei dati e la software house esterna, che deve essere nominata formalmente ADS dell’azienda con indicazione dei compiti attribuiti alla SH nel suo complesso. Sarà poi la SH a dover individuare i propri dipendenti che materialmente amministrerannno il sistema informatico dell’azienda cliente, a ripartire tra di loro le varie competenze (anche con profili e ruoli parzialmente o totalmente diversi tra i vari tecnici, per la gestione separata delle singole aree dell’infrastruttura: server,pc client, LAN, data base, backup, restore, ecc.) e quindi dovrà comunicare all’azienda cliente i loro nominativi. Sbaglio…?!
Scritto il 19-2-2010 alle ore 17:47
In poche parole significa che:
1)La mia azineda nomina la società SH responsabile del trattamento dei dati personali e formalmente ADS (ma qust’ultimo passaggio mi sembra sia già stato escluso da Iaselli)
2)Sarà l’Azienda SH a nominare gli ADS che gestiscono anche i miei sistemi e alla mia Società verranno comunicati solo i nominativi
Esatto?
Scritto il 19-2-2010 alle ore 18:00
La questione è interessante ed io la vedo in maniera un pò diversa. La nomina da parte del titolare di un Ads prescinde dal rapporto contrattuale perché l’Ads nopn può esere equiparato ad un incaricato del trattamento. Ads potrebbe essere benissimo un professionista esterno ad esempio. Di conseguenza nel caso specifico l’azienda titolare del trattamento può nominare direttamente ads alcuni dipendenti della software house dietro univoca indicazione di quest’ultima. Da un punto di vista giuridico trovo più corretta la nomina diretta degli ads da parte dell’azienda titolare rispetto alla nomina come ads della stessa software house che sempre alla fine dovrà designare chi fra i propri dipendenti dovrà effettivamente svolgerne le funzioni.
Scritto il 19-2-2010 alle ore 18:21
Ribadisco la mia opinione (e chiedo a M. Iaselli che cosa ne pensa): l’ADS non è automaticamente “responsabile(esterno) del trattamento” ex art. 29 del Codice! Per nominare un “Responsabile” (che oltretutto è una figura facoltativa) ai sensi dell’art. 29 occorre una designazione formale e individuale. Inoltre queste figure hanno compiti e responsabilità diverse:
- L’Amministratore del sistema è una figura di carattere” tecnico”, che solo incidentalmente “tratta” dati personali (ad es. ne può prendere visione durante le operazioni di manutenzione dei data base), ma il suo incarico specifico è solamente quello di garantire l’operatività del S.I. e delle sue componenti.
- Il “Responsabile del trattamento”, invece, è una persona fisica o giuridica delegata dal titolare del trattamento a presidiare alcuni specifici trattamenti di dati personali a lui affidati (internamente all’azienda o in outsourcing) e deve garantire il pieno rispetto delle misure predisposte dal titolare stesso per tutelare la privacy degli interessati e la sicurezza dei dati a lui affidati (art. 29 del Codice).
In un’azienda è molto frequente la nomina come “Responsabile del trattamento” dei vari responsabili di funzione interni (ad es. il Dir. Personale, il Dir. Amministrativo, il Dir. Commerciale, ecc.), ovvero di soggetti esterni che “trattano” dati personali delicati (ad es. il medico del lavoro, il consulente del lavoro, ecc.); ma nella pratica è piuttosto infrequente che il responsabile interno dell’EDP o la SH esterna che amministra il S.I. siano nominati formalmente “responsabili” (…di quale “trattamento”?).
A mio avviso (e mi è capitato spesso) l’ADS interno (cioè il responsabile I.T.) può essere nominato “Responsabile della sicurezza del trattamento dei dati”, con il compito di garantire e presidiare la corretta applicazione delle misure di sicurezza per il trattamento dei dati (specialmente quelle logiche) all’interno dell’organizzazione del titolare.
In sostanza – a mio parere – lei può nominare formalmente “ADS” la società esterna che gestisce il sistema informatico della sua azienda e questa, per ottemperare al provvedimento del Garante, dovrà comunicarle i nominativi delle persone fisiche (cioè i suoi tecnici, dipendenti o collaboratori) che materialmente hanno accesso ai dati dei quali è “titolare” la sua azienda.
Scritto il 19-2-2010 alle ore 18:26
Michele Iaselli scrive:
Scritto il 19-2-2010 alle ore 18:00
“La nomina da parte del titolare di un Ads prescinde dal rapporto contrattuale perché l’Ads non può esere equiparato ad un incaricato del trattamento. Ads potrebbe essere benissimo un professionista esterno ad esempio…. ”
Quando io parlavo di “rapporto contrattuale” non mi riferivo al contratto di lavoro con i dipendenti (incaricati), ma al contratto di servizio/assistenza tra l’azienda titolare del trattamento (cliente) e la SH (fornitore). Per il resto…. sono perfettamente d’accordo che si può nominare ADS un professionista esterno.
Scritto il 19-2-2010 alle ore 19:56
Come già abbiamo avuto modo di vedere, mi trovo su tutto, l’unico aspetto divergente sta in quello formale di nomina che per me non deve avere come punto di riferimento la società, ma il dipendente, cioé la persona fisica che effettivamente opera sul sistema informatico del titolare. E’ ovvio che il titolare nominerà come proprio ads colui che viene indicato dalla società.
Scritto il 22-2-2010 alle ore 12:14
La mia società, come azienda di outsourcing, fornisce servizi informativi ad una pluralità di aziende, per le quali è formalmente nominata Responsabile al Trattamento.
Domande:
1)Abbiamo l’obbligo di fornire l’elenco dei nominativi presposti come ADS ai sensi del punto 2 lettera d) del Provveidimento. Ma la nomina (designazione individuale) la devono fare le singole aziende titolari ? E quindi i nostri dipendenti risulterebbero nominati come ADS più volte, cioè da ogni azienda titolare ? Oppure devono essere nominati ADS da noi ?
2)Alcune persone che operano in questo ruolo (ADS) lavorano fuori dal territorio italiano e sono citadini stranieri. Come si attua il provvedimento in questo contesto ? Possono ricevere formale nomina ad ADS anche loro ?
Scritto il 23-2-2010 alle ore 00:07
Bè in questo caso essendo la sua società nominata responsabile del trattamento, può anche e sempre a seguito di affidamento da parte del titolare, designare l’ads nonché conservare gli estremi identificativi degli amministratori di sistema.
Riguardo la seconda domanda se il cittadino straniero è in grado di svolgere la propria attività di ads ed è inquadrato contrattualmente per svolgere tale attività può sicuramente ricevere nomina formale.
Scritto il 12-3-2010 alle ore 16:30
Sono Massimo e sono Coordinatore della Privacy dell’azienda per cui lavoro; l’unico dubbio e perplessità sull’ A.d.S. è il controllo annuale del suo operato.
Come deve essere documentato questo controllo annuale? In cosa consiste? Potrebbe essere una comunicazione informale su carta intestata dove viene indicato che le attività svolte dall’amministratore di sistema sono conformi alle mansioni attribuite?
Nell’articolo riportato si parla di un “registro”; di cosa si tratta?
Grazie in anticipo per il chiarimento.
Scritto il 13-3-2010 alle ore 18:48
Carissimo,
non basta l’aspetto formale da te indicato che va bene, ma viene solo successivamente all’aspetto tecnico rappresentato dalla verifica sull’operato dell’ ADS.
Ho predisposto all’indirizzo http://www.micheleiaselli.it/ads.pdf una scheda che può chiarirti le idee.