AMMINISTRATORI DI SISTEMA
Codice di regolamentazione
Il Garante fissa i criteri, quattro mesi per mettersi in regola.
In effetti nel Codice non era stata evidenziata la responsabilitÓ di questa importantissima figura, in definitiva quella che conosce tutto del sistema informativo, compresi i dati in esso contenuti. Ovviamente la vera figura dell'amministratore di sistema adotta un suo codice deontologico, che giÓ in larga misura comprende la delibera del Garante, e quindi con pochissimi aggiustamenti l'adeguamento pu˛ essere pianificato e svolto.
Il Garante fissa sostanzialmente 6 punti da rispettare:
  • Valutazione delle caratteristiche soggettive
  • Designazioni individuali
  • Elenco degli amministratori di sistema
  • Servizi in outsourcing
  • Verifica delle attività
  • Registrazione degli accessi


Bisogna subito chiarire che non tutti sono tenuti ad effettuare l'adeguamento così come evidenziato nel provvediemento il quale recita:
RITENUTO che i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008), debbano essere allo stato esclusi dall'ambito applicativo del presente provvedimento

Ma prendiamo in considerazione i 6 punti più significativi dove la valutazione delle caratteristiche soggettive spetta ovviamente al titolare del trattamento, il quale verifica personalmente se il soggetto che svolge l'attività di Amministratore di sistema rientra nelle caratteristiche identificate, quali:
  • esperienza
  • affidabilità
  • rispetto delle regole

La designazione individuale è forse un aspetto un pò restrittivo nel caso di un gruppo di amministratori di sistema, ai quali di norma viene affidato un progetto e una serie di compiti per i quali viene identificata la figura di Chef. Evidentemente, da adesso non è più possibile indicare sommariamente i compiti, ma vanno elencate le mansioni a livello individuale. Ovviamente bisogna tenere conto delle assenze e delle sostituzioni di compiti.

L' elenco degli amministratori di sistema probabilmente è un tallone di Achille per quelle aziende o enti che trattano dati sensibili, perchè dovendo rendere noto il nominativo dell'amministratore di sistema, proprio per l'importanza della delicatezza del lavoro, potrebbe essere esposto a rischi personali. Questo caso comunque è disciplinato anche da altre leggi e/o provvedimenti.

I servizi in outsourcing oggi sempre più diffusi, dove l'amministratore di sistema non è un dipendente diretto dell'azienda, ma una ditta o un professionista esterno al quale viene affidato l'incarico. In questo caso è il titolare del trattamento che deve mantenere un elenco nominativo delle persone fisiche alle quali è stato affidato l'incarico. Non è quindi possibile identificare come amministratore di sistema la ditta che fornisce il servizio in outsourcing, ma dovrà essere stilato un elenco identificativo di persone fisiche.

La verifica delle attività, questa già avviene nella medie e grandi realtà, un pò meno nelle piccole. Questa verifica deve essere svolta almeno con cadenza annuale e deve essere svolta dal titolare del trattamento, il quale verifica il corretto operato dell'amministratore di sistema.

La registrazione degli accessi, vera nota dolete, in modo particolare per le aziende medio piccole, le quali dovranno dotarsi di strumenti che normalmente non si usano per la gestione delle credenziali di accesso. Altro aspetto Ŕ l'inalterabilitÓ dove solo un supporto non riscrivibile permette questo approccio e quindi credo sia materia di discussione futura.

Il materiale lo trovate qui: amministratori di sistema e Provvedimenti a carattere generale

indirizzo email