GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 27 novembre 2008 | Ingegneri.info

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 27 novembre 2008

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 27 novembre 2008 - Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema. (GU n. 300 del 24-12-2008 )

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 27 novembre 2008

Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni
delle funzioni di amministratore di sistema.

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg.
30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154,
comma 1, lettera c) e h), nonche’ il disciplinare tecnico in materia
di misure minime di sicurezza di cui all’allegato B al medesimo
Codice;
Visti gli atti d’ufficio relativi alla protezione dei dati trattati
con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;
Rilevata l’esigenza di intraprendere una specifica attivita’
rispetto ai soggetti preposti ad attivita’ riconducibili alle
mansioni tipiche dei c.d. «amministratori di sistema», nonche’ di
coloro che svolgono mansioni analoghe in rapporto a sistemi di
elaborazione e banche di dati, evidenziandone la rilevanza rispetto
ai trattamenti di dati personali anche allo scopo di promuovere
presso i relativi titolari e nel pubblico la consapevolezza della
delicatezza di tali peculiari mansioni nella «Societa’
dell’informazione» e dei rischi a esse associati;
Considerata l’esigenza di consentire piu’ agevolmente, nei dovuti
casi, la conoscibilita’ dell’esistenza di tali figure o di ruoli
analoghi svolti in relazione a talune fasi del trattamento
all’interno di enti e organizzazioni;
Ritenuta la necessita’ di promuovere l’adozione di specifiche
cautele nello svolgimento delle mansioni svolte dagli amministratori
di sistema, unitamente ad accorgimenti e misure, tecniche e
organizzative, volti ad agevolare l’esercizio dei doveri di controllo
da parte del titolare (due diligence);
Constatato che lo svolgimento delle mansioni di un amministratore
di sistema, anche a seguito di una sua formale designazione quale
responsabile o incaricato del trattamento, comporta di regola la
concreta capacita’, per atto intenzionale, ma anche per caso
fortuito, di accedere in modo privilegiato a risorse del sistema
informativo e a dati personali cui non si e’ legittimati ad accedere
rispetto ai profili di autorizzazione attribuiti;
Rilevata la necessita’ di richiamare l’attenzione su tale rischio
del pubblico, nonche’ di persone giuridiche, pubbliche
amministrazioni e di altri enti [di seguito sinteticamente
individuati con l’espressione «titolari del trattamento»: art. 4,
comma 1, lettera f) del Codice] che impiegano, in riferimento alla
gestione di banche dati o reti informatiche, sistemi di elaborazione
utilizzati da una molteplicita’ di incaricati con diverse funzioni,
applicative o sistemistiche;
Rilevato che i titolari sono tenuti, ai sensi dell’art. 31 del
Codice, ad adottare misure di sicurezza «idonee e preventive» in
relazione ai trattamenti svolti, dalla cui mancata o non idonea
predisposizione possono derivare responsabilita’ anche di ordine
penale e civile (articoli 15 e 169 del Codice);
Constatato che l’individuazione dei soggetti idonei a svolgere le
mansioni di amministratore di sistema riveste una notevole
importanza, costituendo una delle scelte fondamentali che, unitamente
a quelle relative alle tecnologie, contribuiscono a incrementare la
complessiva sicurezza dei trattamenti svolti, e va percio’ curata in
modo particolare evitando incauti affidamenti;
Considerato inoltre che, qualora ritenga facoltativamente di
designare uno o piu’ responsabili del trattamento, il titolare e’
tenuto a individuare solo soggetti che «per esperienza, capacita’ ed
affidabilita’ forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);
Ritenuto che i titolari di alcuni trattamenti effettuati in ambito
pubblico e privato a fini amministrativo-contabili, i quali pongono
minori rischi per gli interessati e sono stati pertanto oggetto di
recenti misure di semplificazione (art. 29 decreto-legge 25 giugno
2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.
133; art. 34 del Codice; provv. Garante 6 novembre 2008), debbano
essere allo stato esclusi dall’ambito applicativo del presente
provvedimento;
Viste le osservazioni dell’Ufficio formulate dal segretario
generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso:

1. Considerazioni preliminari.
Con la definizione di «amministratore di sistema» si individuano
generalmente, in ambito informatico, figure professionali finalizzate
alla gestione e alla manutenzione di un impianto di elaborazione o di
sue componenti. Ai fini del presente provvedimento vengono pero’
considerate tali anche altre figure equiparabili dal punto di vista
dei rischi relativi alla protezione dei dati, quali gli
amministratori di basi di dati, gli amministratori di reti e di
apparati di sicurezza e gli amministratori di sistemi software
complessi.
Gli amministratori di sistema cosi’ ampiamente individuati, pur non
essendo preposti ordinariamente a operazioni che implicano una
comprensione del dominio applicativo (significato dei dati, formato
delle rappresentazioni e semantica delle funzioni), nelle loro
consuete attivita’ sono, in molti casi, concretamente «responsabili»
di specifiche fasi lavorative che possono comportare elevate
criticita’ rispetto alla protezione dei dati.
Attivita’ tecniche quali il salvataggio dei dati (backup/recovery),
l’organizzazione dei flussi di rete, la gestione dei supporti di
memorizzazione e la manutenzione hardware comportano infatti, in
molti casi, un’effettiva capacita’ di azione su informazioni che va
considerata a tutti gli effetti alla stregua di un trattamento di
dati personali; cio’, anche quando l’amministratore non consulti «in
chiaro» le informazioni medesime.
La rilevanza, la specificita’ e la particolare criticita’ del ruolo
dell’amministratore di sistema sono state considerate anche dal
legislatore il quale ha individuato, con diversa denominazione,
particolari funzioni tecniche che, se svolte da chi commette un
determinato reato, integrano ad esempio una circostanza aggravante.
Ci si riferisce, in particolare, all’abuso della qualita’ di
operatore di sistema prevista dal codice penale per le fattispecie di
accesso abusivo a sistema informatico o telematico (art. 615-ter) e
di frode informatica (art. 640-ter), nonche’ per le fattispecie di
danneggiamento di informazioni, dati e programmi informatici
(articoli 635-bis e ter) e di danneggiamento di sistemi informatici e
telematici (articoli 635-quater e quinques) di recente modifica (vedi
nota 1)
.
La disciplina di protezione dei dati previgente al Codice del 2003
definiva l’amministratore di sistema, individuandolo quale «soggetto
al quale e’ conferito il compito di sovrintendere alle risorse del
sistema operativo di un elaboratore o di un sistema di banca dati e
di consentirne l’utilizzazione» [art. 1, comma 1, lettera c) decreto
del Presidente della Repubblica n. 318/1999].
Il Codice non ha invece incluso questa figura tra le proprie
definizioni normative. Tuttavia le funzioni tipiche
dell’amministrazione di un sistema sono richiamate nel menzionato
allegato B, nella parte in cui prevede l’obbligo per i titolari di
assicurare la custodia delle componenti riservate delle credenziali
di autenticazione. Gran parte dei compiti previsti nel medesimo
allegato B spettano tipicamente all’amministratore di sistema: dalla
realizzazione di copie di sicurezza (operazioni di backup e recovery
dei dati) alla custodia delle credenziali alla gestione dei sistemi
di autenticazione e di autorizzazione.
Nel loro complesso, le norme predette mettono in rilievo la
particolare capacita’ di azione propria degli amministratori di
sistema e la natura fiduciaria delle relative mansioni, analoga a
quella che, in un contesto del tutto differente, caratterizza
determinati incarichi di custodia e altre attivita’ per il cui
svolgimento e’ previsto il possesso di particolari requisiti
tecnico-organizzativi, di onorabilita’, professionali, morali o di
condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli
piu’ delicati della «Societa’ dell’informazione» (vedi nota 2)
.
Nel corso delle attivita’ ispettive disposte negli ultimi anni dal
Garante e’ stato possibile rilevare quale importanza annettano ai
ruoli di system administrator (e di network administrator o database
administrator) la gran parte di aziende e di grandi organizzazioni
pubbliche e private, al di la’ delle definizioni giuridiche,
individuando tali figure nell’ambito di piani di sicurezza o di
documenti programmatici e designandoli a volte quali responsabili.
In altri casi, non soltanto in organizzazioni di piccole
dimensioni, si e’ invece riscontrata, anche a elevati livelli di
responsabilita’, una carente consapevolezza delle criticita’ insite

[Continua nel file zip allegato]

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 27 novembre 2008

Ingegneri.info