Con un comunicato stampa del 14 gennaio 2009, il Garante, annuncia che, con un provvedimento generale del 27 novembre 2008 (in G.U. n. 300 del 24 dicembre 2008), ha dettato specifiche prescrizioni sulle caratteristiche, mansioni ed attività del soggetto che all'interno di una organizzazione sovraintende ad un sistema informatico, o ad un sistema di data base (cosidetto “amministratore di sistema”).

Tali indicazioni non sono, tuttavia, obbligatorie per i trattamenti effettuati esclusivamente per fini amministrativo-contabili, poiché caratterizzati da rischi minori per gli interessati.

L'adozione delle misure ed accorgimenti prescritti dal Garante dovrà avvenire entro il 23 aprile 2009 per i trattamenti già esistenti.

Approfondimenti
Il Garante ritiene opportuno dare rilevanza alla figura del cosidetto “amministratore di sistema” preposto alla gestione dei sistemi informatici e dei sistemi di data base. Questa figura era prevista dal regolamento tecnico di attuazione della vecchia legge sulla privacy: il nuovo codice della privacy (D.Lgs. n. 196/2003), invece, non definisce ne regolamenta con norme specifiche tale ruolo, che, di fatto, veniva ad essere assorbito nella più generale qualifica di “responsabile del trattamento” e/o in quella di “custode delle credenziali” per l'accesso ai sistemi informatici.

In considerazione della particolare importanza che, in realtà, riveste la designazione di queste figure nelle imprese, ora il Garante ha ritenuto di dettare specifiche prescrizioni ai titolari del trattamento circa i requisiti, le mansioni e gli accorgimenti da adottare nella scelta e gestione di tale funzione. 

Prescrizioni
Si tratta di una serie di misure ed accorgimenti obbligatori (ai sensi dell'art. 154, 1°comma, lettera c del Codice della privacy) diretti a regolamentare questa delicata funzione aziendale, e la cui inosservanza, di conseguenza, è ora sottoposta all'applicazione delle nuove sanzioni pecuniarie amministrative da 30.000 € a 180.000 €, introdotte con il recente D.L. n. 207 del 2008.

Esonero dalle nuove prescrizioni
Le prescrizioni disposte dal Garante, tuttavia, non sono vincolanti per i trattamenti svolti in ambito privato esclusivamente per fini amministrativo contabili (già sottoposti a precedenti misure di semplificazione). 

Requisiti
Vista la delicatezza ed importanza del ruolo rivestito dall'amministratore di sistema, il Garante ha prescritto che in ogni caso (anche quando viene inquadrato quale semplice incaricato del trattamento) l'amministratore di sistema deve soddisfare i requisiti di esperienza, capacità ed affidabilità richiesti in generale per i responsabili del trattamento dall'art. 29 del codice. 

Designazione
La designazione scritta deve essere individuale e recare l'indicazione analitica delle competenze attribuite all'amministratore di sistema. 

Individuazione ed informazione sull'amministratore di sistema
L'individuazione dell'amministratore di sistema deve essere caratterizzata dalla trasparenza e dalla conoscibilità: pertanto le persone fisiche che rivestono tale ruolo devono essere individuate nel documento programmatico sulla sicurezza (se presente), od in altro documento interno, e portato a conoscenza dei dipendenti. A tal fine il Garante fa riferimento,ad esempio, al regolamento informatico aziendale eventualmente adottato per disciplinare l'uso di e.mail ed internet. Anche se il servizio è gestito all'esterno in appalto, i nominativi delle persone fisiche preposte quali amministratori di sistema devono essere documentati dall'azienda titolare dei trattamenti. 

Verifica annuale dell'attività
L'azienda titolare del trattamento deve verificare periodicamente (almeno con cadenza annuale) che l'attività dell'amministratore di sistema sia conforme alle misure tecniche, organizzative e di sicurezza necessarie per il corretto trattamento dei dati. Il garante prescrive anche la conservazione per un periodo non inferiore a sei mesi dei log degli accessi logici compiuti dall'amministratore di sistema ai sistemi di elaborazione ed agli archivi elettronici. 

Adeguamento alle nuove misure
Il Garante ha disposto che l'introduzione alle nuove misure ed accorgimenti sia realizzato dalle imprese titolari del trattamento (salvo il caso di esonero sopra evidenziato) entro il prossimo 23 aprile 2009.