23 Novembre 2009
Amministratori di sistema: il 15 dicembre è vicino
Il 15 dicembre scadono i termini per l’adempimento di individuazione e nomina degli amministratori di sistema. Un obbligo che implica l’adozione di iniziative tecniche ed organizzative e che per la sua complessità è già stato oggetto di un “rinvio” da parte del Garante. Cerco di rispondere adesso ad alcune domande molto frequenti in materia.
Chi è l’amministratore di sistema?
L’Amministratore di sistema viene definito dal provvedimento dell’Autorità Garante del 27 novembre 2008 come una figura professionale destinata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. La definizione un po’ troppo generica è stata successivamente meglio inquadrata dall’Autorità con la pubblicazione delle FAQ dove ha precisato che alla gestione e manutenzione degli impianti di elaborazione va associato lo specifico trattamento di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. In altri termini la figura dell’amministratore di sistema è necessaria qualora vi sia una condivisione in rete di archivi contenenti dati personali. In caso contrario non ha ragione di esistere. Nell’ambito della figura degli amministratori di sistema rientrano anche gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Ma in concreto chi può essere nominato amministratore di sistema?
In realtà non viene creata una nuova figura nell’ambito del trattamento dei dati personali, ma con amministratore di sistema si intende una mansione specifica altamente specializzata che può essere attribuita ad un responsabile o ad un incaricato purché sia una designazione di carattere individuale. Nello specifico sembra più opportuno che tale figura sia attribuita ad un incaricato del trattamento di dati personali, perché spesso il responsabile del trattamento è il capo del centro elettronico o della struttura informatizzata, cui l’azienda si appoggia. E’ naturale, quindi, che a fianco di questo responsabile, operi un incaricato, che ad esempio può costruire i privilegi di accesso ai dati, secondo le istruzioni che vengono impartite dai responsabili coinvolti.
Come si verifica l’attività dell’amministratore di sistema?
Il provvedimento del Garante, devo dire molto ermetico, al punto e) dice: “l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti”. In effetti questo punto va letto in stretto collegamento con quello successivo che parla di registrazione degli accessi logici degli amministratori di sistema. Difatti è grazie a quest’ultima che sarà possibile accertare che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.
Ma come fare in concreto questa verifica?
Una buona idea potrebbe essere quella di predisporre un registro sul quale riportare gli estremi e gli esiti di ogni verifica annuale (ad esempio data, ora, numero di accessi individuati, risultanze, ecc.). Nel caso poi vi siano dubbi su alcune operazioni svolte dall’amministratore si provvederà a contestargli formalmente per iscritto quanto accertato e si potrà anche procedere ad una verifica congiunta.
Scritto il 24-11-2009 alle ore 16:46
Chiarissime ed esaurienti le sue risposte alle FAQ sulla prima parte del provvedimento del Garante del 27 novembre 2008; ma sulle questioni “tecniche” cosa mi può dire?
Mi riferisco in particolare al punto 4.5 (Registrazione degli accessi) del provedimento, che dispone che: “Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.”
Nessun fornitore di SW interpellato dai miei clienti ha una soluzione “certificata” che risponda alle prescrizioni del Garante e, in ogni caso, ogni fornitore spaccia la sua soluzione tecnica per buona; però alla richiesta di poter acquistare un software che sia coerente rispetto alle specifiche del Garante, i fornitori non danno alcuna garanzia in merito…
Come la vede la questione?
Scritto il 24-11-2009 alle ore 17:21
La questione anzi le questioni le vedo male
anche io ho condotto un’indagine presso diversi fornitori ed effettivamente le soluzioni fornite non sono in linea con quanto prescritto dal Garante. Il vero problema è che l’Autorità delle volte si spinge su considerazioni tecniche un pò “audaci” senza effettuare riscontri sul mercato. Ho notato uguali problemi nel provvedimento sulla cartella sanitaria elettronica.
Scritto il 24-11-2009 alle ore 17:36
Il vero problema è che l’Autorità delle volte si spinge su considerazioni tecniche un pò “audaci” senza effettuare riscontri sul mercato. Ha perfettamente ragione!! Non è la prima volta che il Garante “pontifica” ma si dimostra assolutamente “scollato” dalla realtà quotidiana… e questo scollamento purtroppo si riflette sugli interpreti e sugli operatori che cercano di indirizzare le imprese nella giusta direzione.
Ultimamente ho sentito da parte delle imprese mie clienti soluzioni tecniche tra le più fantasiose e, come me, penso che le abbiano sentite anche gli “esperti” dell’Autorità; ma questi si sono guardati bene dal dare una interpretazione PRECISA nelle loro risposte alle FAQ pubblicate a giugno.
Mi domando: ma poi “qualcuno” controllerà o, come al solito, si minacciano pesanti sanzioni e poi…. ?!!
Scritto il 24-11-2009 alle ore 17:58
No mi creda ed è questo il problema le sanzioni vengono effettivamente inflitte!!! E sono severe!! Ho dovuto aiutare amici che si sono trovati davvero in difficoltà e devo dire che fortunatamente in qualche caso l’Autorità accoglie almeno parzialmente le contro-deduzioni alla contestazione iniziale.
Scritto il 24-11-2009 alle ore 17:58
Si vede che il Garante non sapeva che fare quel giorno… Un altro adempimento assolutamente inutile; soggetto peraltro già presente negli organigrammi per le aziende di una certa dimensione che effettivamente dispongono di un Amministratore di rete, mentre per le piccole aziende può coincidere con il titolare o semplicemente con il collaboratore un può più sveglio in ambito informatico senza incarichi formali o capacità particolarmente elevate…
Buona serata a tutti.
LL
Scritto il 24-11-2009 alle ore 18:11
Bè su questo devo dissentire. Il provvedimento si è reso necessario perché molti amministratori di rete sfruttavano i loro privilegi per danneggiare le aziende per cui si è dovuta istituire una modalità di controllo al loro operato. Purtroppo quando si vanno a definire giuridicamente le figure soggettive e si fissano avventati parametri tecnici per eseguire le verifiche sorgono i problemi
Scritto il 27-11-2009 alle ore 12:07
Non mi pare che debbano essere fatte tante critiche all’autority per questo provvedimento, certamente va migliorato con l’aiuto degli operatori, ma di certo è servito per evitare che moltissimi titolari facessero assumere responsabilità a dipendenti, impiegati come amministratori di sistema , senza che questi avessero le capacità professionali per attendere a questa delicata mansione.
Probabilmente questa norma servirà a creare molti posti di lavoro , stante la specializzazione richiesta e la possibilità di utilizzare risorse esterne in outsourcing , chiaramente gli operatori sanno che trattano una materia che è considerata attività pericolosa e che ai sensi del 2050 c.c. dovranno dimostrare di aver applicato le misure idonee a fare in modo che il danno non si verifichi , probabilmente l’autority dovrà mettere mano di nuovo a questa delibera per fare in modo che le aziende che decidono di applicare la 231/01 si trovino nella condizione d sapere quali misure idonee adottare per i reati previsti dalla stessa. ad maiora Giulio
Scritto il 2-12-2009 alle ore 20:30
In questi ultimi mesi ho ricevuto decine di proposte di software più o meno conosciuto per la raccolta dei log da network, server, database.
Pensare, per ognuno dei dispositivi designati, di dover inserire username nominativi, e di doverli gestire, mi fa già pensare a quanto tempo andrà buttato per garantire il rispetto della legge.
Una sola azienda ha proposto, come soluzione, l’utilizzo di un software Single Sign On che memorizza su un log chi fa il login/logout sull’oggetto controllato per adempiere alla legge. Ovviamente con timestamp. L’applicazione prevede che il software, in autonomia, scelga la password dell’unico username autorizzato ad entrare come amministratore sui dispositivi. Così nessuno sarebbe in grado di entrare senza passare per il SSO che viceversa registrerebbe nominalmente chi entra facendo da ponte.
Sembrerebbe l’uovo di Colombo per fare tutto in modo semplice senza caricarsi di un fardello di log preso da tutti i sistemi amministrati. Dov’è quindi la falla di questa soluzione visto che nessuno tranne uno la propone? Grazie. Massimo.
Scritto il 2-12-2009 alle ore 21:35
Effettivamente la soluzione sembra talmente semplice!!! Ma mi domando e vi domando tale soluzione andrebbe bene anche nel caso in cui la registrazione degli accessi è relativa ai DBMS?
Scritto il 5-12-2009 alle ore 18:24
Personalmente penso di si in quanto il Single Sign On cattura lo schermo di qualsiasi utility e si può istruire. Quindi, prendo l’utility con cui accedo nel DBMS per fare query estemporanee o modifiche di dati, la istruisco per dare automaticamente user/password che io nel futuro non conoscerò e ci accedo. E’ chiaro che potrò amministrare i sistemi solo dai computer che hanno a bordo il software di Single Sign On.
Scritto il 15-12-2009 alle ore 12:44
Quindi, da quanto ho capito, anche il Responsabile del Trattamento può essere designato ad Amministratore di Sistema… ciò significa che non è “Amministartore di Sistema”, per definizione, in quanto già nominato Responsabile del Trattamento (e nel mio specifico caso anche designato a ricoprire l’incarico di amministratore delle procedure informatiche dal titolare)? e per tanto anche il Responsabile deve essere designato a ricoprire il ruolo di Amministatore di Sistema in modo individuale con l’elencazione analitica degli ambiti di operatività consentiti?
Grazie dell’aiuto
Scritto il 15-12-2009 alle ore 15:37
Si, è sempre necessaria una designazione specifica, ma non sarebbe saggio a mio avviso nominare ads il responsabile del trattamento pur non essendo escluso dai provvedimenti del Garante. La ragione è evidente: l’ads è una figura specifica principalmente di carattere tecnico soggetto a verifica annuale da parte del titolare. Il responsabile del trattamento è il personaggio di fiducia del titolare sull’applicazione di tutta la normativa in materia di privacy con competenze tra l’altro molto ampie, farvi rientrare anche l’ads mi sembra un pò troppo.
Scritto il 15-12-2009 alle ore 16:17
Condivido l’opinione di Iaselli. L’ADS è e deve rimanere una (importante) figura di carattere tecnico, che solo incidentalmente “tratta” dati personali (ad es. ne può prendere visione durante le operazioni di manutenzione dei data base), ma il cui incarico specifico è quello di garantire l’operatività del sistema e delle sue componenti. Ben diversa è la figura del “Responsabile del trattamento” delineata dall’art. 29 del Codice, il quale è delegato dal titolare del trattamento a presidiare alcuni specifici trattamenti di dati personali a lui affidati, garantendo il pieno rispetto delle misure predisposte dal titolare stesso per garantire la privacy degli interessati e la sicurezza dei dati trattati.
In un’azienda è frequente che siano nominati “responsabili del trattamento” i vari responsabili di funzione interni(Personale, Amministrazione, Commerciale, ecc.), ovvero esteni (medico del lavoro, consulente del lavoro, ecc.); ma è piuttosto infrequente che il responsabile interno dell’EDP o la software house esterna che amministra il sistema informatico siano nominati “responsabili”.
Tuttalpiù l’ADS potrebbe essere nominato “Responsabile della sicurezza del trattamento dei dati”, con il compito di garantire e presidiare la corretta applicazione all’interno del’organizzazione delle misure di sicurezza per il trattamento dei dati (specialmente quelle logiche).
Scritto il 12-1-2010 alle ore 18:58
Posso nominare Amministratore di sistema una Società che gestisce in outsourcing il sistema informatico della mia azienda.
Detta società risulterebbe quindi responsabile del trattamento dei dati e Amministratore di sistema.
La mia azienda chiderebbe poi a detta Società l’elenco delle persone che accedono ai miei sistemi come ADS
E’ corretto ?
Scritto il 12-1-2010 alle ore 19:53
Lei può senza dubbio nominare ADS la società che gestisce il sistema informatico della sua azienda, la quale, per ottemperare al provvedimento del Garante del novembre 2008 dovrà comunicarle i nominativi delle persone fisiche (i suoi tecnici) che materialmente hanno accesso ai dati dei quali è titolare la sua azienda.
Attenzione che l’ADS non è automaticamente “responsabile(esterno) del trattamento” ex art. 29 del Codice! Legga bene ciò che ho scritto nel mio commento n.13.
Scritto il 12-1-2010 alle ore 20:52
Devo dire di non essere molto d’accordo da un punto di vista strettamente giuridico con questa affermazione di Polacchini. In realtà è possibile nominare la società responsabile del trattamento dei dati, ma la designazione del o degli amministratori di sistema deve essere individuale e dal combinato disposto dei punti b e c del provvedimento del Garante è opportuno che la designazione riguardi persone fisiche. Comunque nella sostanza non cambia molto perché si può chiedere alla società già responsabile del trattamento di individuare l’ads tra i propri collaboratori.
Scritto il 13-1-2010 alle ore 08:56
Probabilmente non mi sono spiegato bene Iaselli.
Io non ho detto che NON si possa nominare la software house che gestisce il sistema informatico aziendale quale “responsabile del trattamento” (salvo specificare di quali banche dati/trattamenti di dati essa è “responsabile”); ma ho solo detto che se è stata nominata una Società esterna quale ADS essa NON è “automaticamente” responsabile del trattamento dei dati dell’azienda(di quali poi? di tutti?). Per nominare un “Responsabile” (che oltretutto è una figura facoltativa) ai sensi dell’art. 29 occorre una designazione formale e individuale.
E’ chiaro poi che se ho nominato ADS la software house questa, per rispettare il provvedimento del Garante, dovrà indicarmi quali sono le pesone fisiche che materialmente amministrano il sistema informatico della mia azienda (ossia i tecnici informatici suoi dipendenti che seguono materialmente la mia azienda; tecnici che in una SH sono soggetti a frequente turn over).
L’azienda titolare del trattamento dei dati NON può nominare direttamente come ADS i singoli “dipendenti” di un’altra società: il rapporto contrattuale è solo tra azienda titolare del trattamento dei dati e software house nominata ADS dell’azienda. Poi sarà la SH a dover individuare i propri dipendenti che materialmente amministrerannno il sistema informatico dell’azienda cliente e a comunicare al cliente i loro nominativi.
Spero di essere stato chiaro….
Scritto il 13-1-2010 alle ore 16:01
Per la verità il concetto è sempre stato chiaro, difatti la mia è stata solo una precisazione di carattere formale che non cambia nulla nella sostanza. Ciò che andava chiarito è che prima facie l’azienda non può essere nominata ads in quanto tale. Per il resto siamo perfettamente d’accordo.
Scritto il 15-1-2010 alle ore 11:33
Vi ringrazio per le risposte decisamente esaurienti. Ho tuttavia alcuni dubbi sui seguenti aspetti:
1) la società in outsourcing può nominare più amministratori per un solo ambito informatico oppure deve essere unico
2) l’amministratore di sistema può essere nominato per più ambiti informatici
3) La società in outsourcing deve comunicare al Società Titolare dei dati il nome degli ammnistratori in aggiunta alle relative user e password assegnate ?
Grazie
Scritto il 17-1-2010 alle ore 16:44
Il provvedimento dell’Autorità Garante dispone che la designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Inoltre specifica di riportare gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, in un documento interno.
Da ciò si ricava che la funzione di amministratore di sistema può essere affidata a più persone per garantire la ridondanza della stessa, così come essa può essere affidata a più persone con profili e ruoli parzialmente o totalmente diversi per la gestione separata delle singole aree dell’infrastruttura (server, postazioni di lavoro, rete, database, backup, sicurezza, ecc.). In questo secondo caso la suddivisione può derivare o dalla diversa competenza richiesta o dall’esigenza di differenziare e limitare l’accesso alle risorse informatiche da parte dei singoli amministratori.
Quindi non suddistono motivi ostativi a parere del sottoscritto in merito alle prime due possibilità.
Sicuramente poi la società in outsourging dovrà comunicare al Titolare gli estremi identificativi degli amministratori di sistema.
Scritto il 30-1-2010 alle ore 21:46
Provate questo sito, molte info e soluzioni
Scritto il 12-2-2010 alle ore 15:35
Chiedo il vostro parere sulla seguente situazione:
La società “A” ha un contratto di outsoucing del sistema informatico con la Società “B”.
La Società “B” a sua volta ha affidato alla Società “C” , tramite apposto contratto, la gestione dei sistemi informatici tra i quali anche quelli della Società “A” (tra “A” e “C” non vi è alcun rapporto
Per gli Amministratori di sistema: La Società “A” nomina amministratore di sistema la società “B” e a sua volta quest’ultima nomina la “C” ?
Quindi la B comunicherà alla A che i sistemi informatici vengono gestiti con la collaborazione dalla Società C e l’elenco degli Amministratori che viene inviata alla “A”sarà quella della Società “C” ?
GRazie
Scritto il 14-2-2010 alle ore 11:42
No, non ci siamo. La soluzione è molto più semplice: la società A ha l’obbligo di nominare gli amministratori o l’amministratore di sistema e non può nominare la società B come Ads ma chiederà alla società B uno o più nominativi di tecnici da nominare Ads. Quindi la società A provvederà a nominare direttamente quei tecnici come Ads. Alla società A importa poco dei rapporti fra la società B e C, per cui i tecnici potranno essere o della società B o C. Saluti
Scritto il 14-2-2010 alle ore 16:52
Grazie
E’ quindi sbagliato nominare ADS la società outsorcing.
Alcune aziende stanno adottando questo sistema. Nominato la Società outsourcing ADS e chiedono l’elenco degli amministratori di sistema che hanno accesso ai loro server
Altre invece nominano direttamente gli amministratori di sistema della società in outsourcing Anche se in questo ultimo caso mi chiedo quale valutazione possa esserci alla base della nomina se il dipendente è di un altra Società ?
Scritto il 14-2-2010 alle ore 20:58
Il fatto è che l’Ads non va equiparato all’incaricato, per cui basta che abbia quei requisiti di conoscenza del sistema, competenza ed affidabilità richiesti dal Garante ed anche se professionista esterno o tecnico di altra società può essere tranquillamente nominato Ads.
Scritto il 19-2-2010 alle ore 16:23
In azienda stanno arrivando degli atti di nomina a responsabile del trattamento dei dati personali con i quali viene affidato a noi l’incarico di attribuire ai nostri dipendenti che gestiscono il sistema informatico per altre aziende, le funzioni di amministratore di sistema e di tenere per conto del Titolare , l’elenco aggiornato delle persone fisiche designate.
Non dovrebbe essere l’azienda per la quale gestiamo il sistema informatico a chiderci i nominativi e a redigere gli atti di nomina di amministratore ?
Scritto il 19-2-2010 alle ore 17:31
A mio parere (chiedo conferma a M. Iaselli….) come ho già scritto in gennaio, se la mia azienda “titolare del trattamento dei dati” ha nominato formalmente amministratore del proprio sistema una software house, questa, per rispettare il provvedimento del Garante, dovrà indicarmi quali sono le pesone fisiche che materialmente amministrano il sistema informatico della mia azienda, cioè i nominativi dei tecnici informatici suoi dipendenti che materialmente gestiscono il sistema informatico della mia azienda (tecnici che in una SH sono soggetti a un frequente turn over).
L’azienda titolare del trattamento dei dati - a mio avviso - non può nominare direttamente come ADS i singoli “dipendenti” di un’altra società. Questo perchè il rapporto contrattuale è solo tra la mia azienda titolare del trattamento dei dati e la software house esterna, che deve essere nominata formalmente ADS dell’azienda con indicazione dei compiti attribuiti alla SH nel suo complesso. Sarà poi la SH a dover individuare i propri dipendenti che materialmente amministrerannno il sistema informatico dell’azienda cliente, a ripartire tra di loro le varie competenze (anche con profili e ruoli parzialmente o totalmente diversi tra i vari tecnici, per la gestione separata delle singole aree dell’infrastruttura: server,pc client, LAN, data base, backup, restore, ecc.) e quindi dovrà comunicare all’azienda cliente i loro nominativi. Sbaglio…?!
Scritto il 19-2-2010 alle ore 17:47
In poche parole significa che:
1)La mia azineda nomina la società SH responsabile del trattamento dei dati personali e formalmente ADS (ma qust’ultimo passaggio mi sembra sia già stato escluso da Iaselli)
2)Sarà l’Azienda SH a nominare gli ADS che gestiscono anche i miei sistemi e alla mia Società verranno comunicati solo i nominativi
Esatto?
Scritto il 19-2-2010 alle ore 18:00
La questione è interessante ed io la vedo in maniera un pò diversa. La nomina da parte del titolare di un Ads prescinde dal rapporto contrattuale perché l’Ads nopn può esere equiparato ad un incaricato del trattamento. Ads potrebbe essere benissimo un professionista esterno ad esempio. Di conseguenza nel caso specifico l’azienda titolare del trattamento può nominare direttamente ads alcuni dipendenti della software house dietro univoca indicazione di quest’ultima. Da un punto di vista giuridico trovo più corretta la nomina diretta degli ads da parte dell’azienda titolare rispetto alla nomina come ads della stessa software house che sempre alla fine dovrà designare chi fra i propri dipendenti dovrà effettivamente svolgerne le funzioni.
Scritto il 19-2-2010 alle ore 18:21
Ribadisco la mia opinione (e chiedo a M. Iaselli che cosa ne pensa): l’ADS non è automaticamente “responsabile(esterno) del trattamento” ex art. 29 del Codice! Per nominare un “Responsabile” (che oltretutto è una figura facoltativa) ai sensi dell’art. 29 occorre una designazione formale e individuale. Inoltre queste figure hanno compiti e responsabilità diverse:
- L’Amministratore del sistema è una figura di carattere” tecnico”, che solo incidentalmente “tratta” dati personali (ad es. ne può prendere visione durante le operazioni di manutenzione dei data base), ma il suo incarico specifico è solamente quello di garantire l’operatività del S.I. e delle sue componenti.
- Il “Responsabile del trattamento”, invece, è una persona fisica o giuridica delegata dal titolare del trattamento a presidiare alcuni specifici trattamenti di dati personali a lui affidati (internamente all’azienda o in outsourcing) e deve garantire il pieno rispetto delle misure predisposte dal titolare stesso per tutelare la privacy degli interessati e la sicurezza dei dati a lui affidati (art. 29 del Codice).
In un’azienda è molto frequente la nomina come “Responsabile del trattamento” dei vari responsabili di funzione interni (ad es. il Dir. Personale, il Dir. Amministrativo, il Dir. Commerciale, ecc.), ovvero di soggetti esterni che “trattano” dati personali delicati (ad es. il medico del lavoro, il consulente del lavoro, ecc.); ma nella pratica è piuttosto infrequente che il responsabile interno dell’EDP o la SH esterna che amministra il S.I. siano nominati formalmente “responsabili” (…di quale “trattamento”?).
A mio avviso (e mi è capitato spesso) l’ADS interno (cioè il responsabile I.T.) può essere nominato “Responsabile della sicurezza del trattamento dei dati”, con il compito di garantire e presidiare la corretta applicazione delle misure di sicurezza per il trattamento dei dati (specialmente quelle logiche) all’interno dell’organizzazione del titolare.
In sostanza – a mio parere – lei può nominare formalmente “ADS” la società esterna che gestisce il sistema informatico della sua azienda e questa, per ottemperare al provvedimento del Garante, dovrà comunicarle i nominativi delle persone fisiche (cioè i suoi tecnici, dipendenti o collaboratori) che materialmente hanno accesso ai dati dei quali è “titolare” la sua azienda.
Scritto il 19-2-2010 alle ore 18:26
Michele Iaselli scrive:
Scritto il 19-2-2010 alle ore 18:00
“La nomina da parte del titolare di un Ads prescinde dal rapporto contrattuale perché l’Ads non può esere equiparato ad un incaricato del trattamento. Ads potrebbe essere benissimo un professionista esterno ad esempio…. ”
Quando io parlavo di “rapporto contrattuale” non mi riferivo al contratto di lavoro con i dipendenti (incaricati), ma al contratto di servizio/assistenza tra l’azienda titolare del trattamento (cliente) e la SH (fornitore). Per il resto…. sono perfettamente d’accordo che si può nominare ADS un professionista esterno.
Scritto il 19-2-2010 alle ore 19:56
Come già abbiamo avuto modo di vedere, mi trovo su tutto, l’unico aspetto divergente sta in quello formale di nomina che per me non deve avere come punto di riferimento la società, ma il dipendente, cioé la persona fisica che effettivamente opera sul sistema informatico del titolare. E’ ovvio che il titolare nominerà come proprio ads colui che viene indicato dalla società.
Scritto il 22-2-2010 alle ore 12:14
La mia società, come azienda di outsourcing, fornisce servizi informativi ad una pluralità di aziende, per le quali è formalmente nominata Responsabile al Trattamento.
Domande:
1)Abbiamo l’obbligo di fornire l’elenco dei nominativi presposti come ADS ai sensi del punto 2 lettera d) del Provveidimento. Ma la nomina (designazione individuale) la devono fare le singole aziende titolari ? E quindi i nostri dipendenti risulterebbero nominati come ADS più volte, cioè da ogni azienda titolare ? Oppure devono essere nominati ADS da noi ?
2)Alcune persone che operano in questo ruolo (ADS) lavorano fuori dal territorio italiano e sono citadini stranieri. Come si attua il provvedimento in questo contesto ? Possono ricevere formale nomina ad ADS anche loro ?
Scritto il 23-2-2010 alle ore 00:07
Bè in questo caso essendo la sua società nominata responsabile del trattamento, può anche e sempre a seguito di affidamento da parte del titolare, designare l’ads nonché conservare gli estremi identificativi degli amministratori di sistema.
Riguardo la seconda domanda se il cittadino straniero è in grado di svolgere la propria attività di ads ed è inquadrato contrattualmente per svolgere tale attività può sicuramente ricevere nomina formale.
Scritto il 12-3-2010 alle ore 16:30
Sono Massimo e sono Coordinatore della Privacy dell’azienda per cui lavoro; l’unico dubbio e perplessità sull’ A.d.S. è il controllo annuale del suo operato.
Come deve essere documentato questo controllo annuale? In cosa consiste? Potrebbe essere una comunicazione informale su carta intestata dove viene indicato che le attività svolte dall’amministratore di sistema sono conformi alle mansioni attribuite?
Nell’articolo riportato si parla di un “registro”; di cosa si tratta?
Grazie in anticipo per il chiarimento.
Scritto il 13-3-2010 alle ore 18:48
Carissimo,
non basta l’aspetto formale da te indicato che va bene, ma viene solo successivamente all’aspetto tecnico rappresentato dalla verifica sull’operato dell’ ADS.
Ho predisposto all’indirizzo http://www.micheleiaselli.it/ads.pdf una scheda che può chiarirti le idee.
Scritto il 9-4-2010 alle ore 15:27
Grazie per la scheda che chiarisce bene.
Avrei una domanda.
Ha senso nominare AdS tutti gli operatori di un sistema informatico così come è successo nell’Azienda in cui lavoro ?
Grazie
Scritto il 10-4-2010 alle ore 21:21
Potrebbe avere senso qualora il sistema informatico sia molto complesso e vi siano diverse banche dati e relative applicazioni in rete. Indubbiamente però è difficile se non impossibile che ciò accada in quanto gli Ads non possono essere di norma tutti gli operatori. Saluti
Scritto il 20-4-2010 alle ore 10:13
Buongiorno Sig. Iaselli,
volevo chiederle un’informazione circa il campo di applicazione della figura di amministratore di sistema.
Premesso che il Garante ha disposto un intervento di semplificazione del discorso privacy, comunicando che sono stati esclusi dal campo di applicazione i trattamenti effettuati ai fini amministrativo contabili, mi chiedevo se l’azienda per cui lavoro necessita di questa figura.
I dati a livello informatico trattati dall’azienda sono i cartellini dei dipendenti (le paghe sono elaborate da uno studio di consulenza); anagrafiche dipendenti, clienti e fornitori; ordini di vendita e acquisto ed altre informazioni commerciali.
Grazie
Chiara
Scritto il 21-4-2010 alle ore 15:51
Indubbiamente l’azienda sembra rientrare nelle previsioni del provvedimento di semplificazione in quanto tratta i dati sensibili solo del personale dipendente a quanto pare, ma questo è sempre bene accertarlo in modo approfondito. L’Ads è comunque una figura che viene prevista in presenza di sistemi informatici complessi dove data base contenenti dati personali siano condivisi in rete anche con diversi profili di autorizzazione. Se tale situazione non ricorre in azienda è ovvio che l’ads non debba essere nominato.
Scritto il 22-4-2010 alle ore 12:15
Grazie mille per la chiarissima delucidazione.
La disturbo un’ultima volta per avere una conferma ad un dubbio che mi è venuto:
in una realtà aziendale dove sono presenti più server ritiene necessaria la registrazione dei Login anche per quei server in cui sono presenti solo dati personali (anche le sole anagrafiche aziende) piuttosto che dei soli server che contengono dati sensibili?
Anche perché nel Provvedimento il Garante cita i Dati Personali e non nello specifico i Dati Sensibili.
Grazie.
Scritto il 22-4-2010 alle ore 14:14
Sicuramente le credenziali di autenticazione devono essere presenti in tutti i server che contengono dati personali e sarebbe opportuno che vi siano a prescindere anche dagli stessi per una policy di sicurezza di carattere generale. Inoltre i dati personali rappresentano un genus nel quale rientrano i dati sensibili. Saluti
Scritto il 22-4-2010 alle ore 14:25
Ho letto attentamente le risposte relative alle società che gestiscono il software aziendale e non ho ben chiara la situazione.
Faccio presente che l’azienda dove lavoro ha nominato un Amministratore di Sistema ma non ha considerato un elemento fondamentale, e cioè la Società che gestisce il software dei server e per i quali la stessa esegue la manutenzione.
Quindi mi chiedevo quali tra le 3 ipotesi sono da considerare:
1) potrebbe essere sufficiente nominare l’azienda che gestisce il software aziendale (e che esegue manutenzione ai server) come “incaricata al trattamento dei dati” senza doverla nominare amministratore di sistema?
2) La società che gestisce il software viene nominata “incaricata al trattamento dei dati” e poi sarà la società medesima a nominare al suo interno un AdS che ci verrà formalmente comunicato
3) è necessario nominare l’azienda come AdS che poi provvederà a nominare al suo interno un AdS per la nostra società (nominativo che poi ci verrà comunicato formalmente).
La ringrazio sperando riuscirà a chiarirmi la situazione.
Scritto il 22-4-2010 alle ore 19:38
Questo è un campo dove bisogna vedere in concreto cosa succede. Purtroppo non possono essere dettate regole generali valide in tutti i casi. Comunque da una prima lettura dell’intera problematica propenderei per un’ulteriore soluzione e cioé nominare la società che gestisce il software aziendale responsabile ex art. 29 del codice dei dati trattati durante la sua attività e dopo sarà la stessa società a proporre un Ads che verrà designato dal titolare.
Scritto il 29-4-2010 alle ore 17:59
Buongiorno Sig. Iaselli,
volevo avere anche una sua opinione (oltre a quella già fornita dal Sig. Polacchini) circa la situazione presso l’azienda dove lavoro.
Premetto che nonostante l’azienda dovrebbe rientrare nelle misure semplificazione del DPS prevista dal Garante (l’azienda produce e commercializza prodotti quindi dovrebbe rientrare nelle finalità amministrative/contabili) è stato ritenuto opportuno continuare ad aggiornare il precedente DPS, sia perchè aggiornarlo annualmente non costa fatica sia perchè come Lei ha sottolineato è un motivo per essere maggiormente tutelati in caso di controlli.
Innanzitutto Le domando se avere il DPS comporta automaticamente la nomina di un AdS.
Nel caso non ci fosse corrispondenza tra i due elementi le faccio un’altra domanda.
L’azienda già nel giugno 2009 ha nominato il proprio AdS per poi rendersi conto che probabilmente rientra tra le aziende escluse da tale obbligo.
Dato che abbiamo già provveduto alla nomina, ci chiedevamo se potevamo evitare di effettuare le registrazioni dei Log dell’AdS visto i costosi programmi in circolazione e l’impossibilità di utilizzare altri metodi di Log a basso costo.
Quindi secondo Lei potremmo mantenere la figura dell’AdS senza dover per forza essere obbligati a registrare i Log?
In caso affermativo si potrebbe riportare nel DPS (insieme alla nomina dell’AdS) che:
In riferimento alla registrazione degli accessi da parte dell’Amministratore di Sistema, questi non vengono effettuati in virtù della Faq n°6 del Garante che cita: “Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008)”
in modo da essere tutelati in caso di controllo?
Grazie
Scritto il 29-4-2010 alle ore 21:24
Innanzitutto non c’è assolutamente collegamento tra il DPS e la nomina di un Ads che è legata essenzialmente alla presenza ed alle caratteristiche del sistema informatico e dei relativi software, banche dati, ecc.
Le sarò molto sincero: la sua soluzione non è fattibile in quanto va presa una decisione seria ed univoca in merito alla presenza di un Ads. O si ritiene necessaria la sua presenza e quindi si applica inevitabilmente in toto la normativa oppure si evita di nominarlo in quanto non necessario. Quindi ciò che le posso suggerire è esaminare con accuratezza l’opportunità di avere un Ads e decidere di conseguenza. Effettivamente se non sussistono particolari problematiche di rete potrebbe essere inutile la sua nomina. La stessa Autorità Garante dopo il primo provvedimento sull’Ads è successivamente ritornata sull’argomento lasciando intendere che non sempre è necessaria la nomina di un Ads.
Scritto il 30-4-2010 alle ore 09:03
Sul fatto che non sia “obbligatorio” nominare un ADS non ho alcun dubbio: la scelta dipende solo dallla complessità del sistema informatico aziendale e dalle caratteristiche delle banche dati da gestire/manutenere.
Sul fatto che, una volta nominato formalmente un ADS (anche se tecnicamente non strettamente necessario), si debba necessariamente procedere alla verifica della sua attività e al controllo degli accessi come previsto dal provv. gen. Garante Privacy del 27.11.2008 e successiva modifica del 25.6.2009, invece, non sono d’accordo…
Nel citato provedimento dell’Autorità si fa implicito riferimento allo svolgimento delle mansioni di ADS “anche” da parte di soggetti non formalmente nominati tali, e questo, a mio avviso, rafforza la possibilità che possano esservi soggetti che “di fatto” svolgono le mansioni di ADS senza essere tenuti ad applicare le misure e gli accorgimenti prescritti dal Garante per i titolari di trattamenti effettuati con strumenti elettronici, qualora tali trattamenti
siano effettuati ai soli fini amministrativo-contabili (punto 4).
Tantissime aziende, pur non essendovi obbligate per legge, anche prima dell’emanazione del provvedimento dell’Autorità avevano nominato la figura dell’ADS. Ora mi domando e chiedo a Iaselli, qualora tali aziende trattino i dati personali unicamente per le finalità amministrativo-contabili che danno diritto alle misure di semplificazione, dovrebbero effettuare ugualmente i controlli sugli access log, ovvero dovrebbero annullare la nomina come ADS della software house che gestisce il loro sistema informativo? Sono perplesso… Io, francamente, lascerei tutto come sta. La nomina formale come ADS in un certo senso “responsabilizza” maggiormente la software house che fornisce l’assistenza (a condizione che la lettera di nomina sia stata opportunamente redatta); ma se il titolare è soggetto alle misure di semplificazione, io penso che potrebbe trranquillamente evitare gli “inutili” controlli.
Al Sig. Massimo io suggerirei di stare abbastanza tranquillo: questa è la classica questione sulla quale gli interpreti della normativa sulla privacy possono discutere all’infinito… ciascuno fornendo la sua legittima e autorevole interpretazione. Purtroppo nelle leggi soltanto “in claris non fit interpretatio”… altrimenti gli interpreti che cosa farebbero?
Scritto il 30-4-2010 alle ore 19:06
Bè, ma se il trattamento ha solo finalità amministrativo-contabili che senso ha la nomina formale di un Ads? Sia ben chiaro, come ha giustamente sottolineato Polacchini stiamo parlando di pura interpretazione, ma la finalità principe del provvedimento del Garante è proprio il controllo delle attività di un Ads, ergo sostenere l’applicazione parziale del provvedimento secondo me non avrebbe molto senso. Inoltre la finalità principe della semplificazione è evitare inutili balzelli, provvedimenti formali ed adempimenti evitabili, ergo la nomina formale di un Ads che senso ha?
Quindi in ogni caso Massimo può stare tranquillo, perché secondo me molto probabilmente loro hanno fatto qualcosa in più e non possono essere per questo passibili di provvedimenti sanzionatori. Saluti
Scritto il 1-5-2010 alle ore 18:02
Siamo d’accordo!
In effetti non ha senso nominare un ADS in quelle circostanze.Io intendevo semplicemente dire che, se già prima del provv. di “semplificazione” del Garante era stato formalmente nominato un ADS, tanto vale mantenere questa nomina - che a mio avviso responsabilizza maggiormente la software house sui “risvolti privacy” dell’attività puramente tecnica che essa è chiamata a svolgere - fermo restando che non occorre applicare le disposizioni del Garante sul controlo dell’attività dell’ADS. In ogni caso… si può sempre revocare la nomina come ADS, pur mantenendo in essere il contratto di assistenza SW e HW.
Scritto il 3-5-2010 alle ore 17:33
Vi ringrazio per le Vs. interessantissime opinioni.
Infatti l’azienda per essere in regola alla data del 30/06/2009 (poi prorogata al 15/12/2009), ha subito provveduto alla nomina dell’AdS senza valutare la necessità di tale figura.
Effettivamente la soluzione più semplice sarebbe quella di eliminare la figura dall’azienda, ma avendo già redatto il DPS volevo evitare di fare delle manomissioni dell’ultimo momento e cercare di mantenere tale nomina evitando però di sopportare il costo dei programmi che gestiscono i Log.
Quindi nel paragrafo che riguarda la nomina dell’AdS metterò il riferimento alla FAQ del Garante così come riportato nel mio commento precedente, sperando che in caso di controlli l’interpretazione della norma in tal senso sia ampiamente riconosciuta.
Solo un appunto: abbiamo nominato AdS solo un dipendente che si occupa della gestione e manutenzione dei server e non la SH con la quale abbiamo fatto solo una semplice nomina di “incaricato al trattamento alle banche dati”.
Grazie mille.
Scritto il 27-5-2010 alle ore 12:39
Buongiorno a tutti,
volevo sottoporvi il prodotto in questione http://www.legallogger.com per una valutazione.
Grazie