|
|
Privacy
La normativa relativa alla protezione dei dati personali (o,
in breve, legge sulla privacy) è molto estesa, complessa e
spesso sottoposta a variazioni ed integrazioni.
Nel rimandare gli interessati
ad un contatto diretto con
Oggetti Informatici
per valutare le specificità del caso ed impostare le
soluzioni più idonee, inseriamo qui di seguito alcune
precisazioni, redatte dallo stesso Garante, sulla figura
degli amministratori di sistema, al fine di chiarire quanto
più possibile chi debba ritenersi effettivamente interessato
dal provvedimento.
1) Cosa deve intendersi
per "amministratore di sistema"?
In assenza di
definizioni normative e tecniche condivise, nell'ambito del
provvedimento del Garante l'amministratore di sistema è
assunto quale figura professionale dedicata alla gestione e
alla manutenzione di impianti di elaborazione con cui
vengano effettuati trattamenti di dati personali, compresi i
sistemi di gestione delle basi di dati, i sistemi software
complessi quali i sistemi ERP (Enterprise resource planning)
utilizzati in grandi aziende e organizzazioni, le reti
locali e gli apparati di sicurezza, nella misura in cui
consentano di intervenire sui dati personali.
Il Garante non ha inteso equiparare gli "operatori di
sistema" di cui agli articoli del Codice penale relativi ai
delitti informatici, con gli "amministratori di sistema":
questi ultimi sono dei particolari operatori di sistema,
dotati di specifici privilegi.
Non rientrano
invece nella definizione quei soggetti che solo
occasionalmente intervengono
(p.es., per scopi di manutenzione a seguito di guasti o
malfunzioni) sui
sistemi di elaborazione e sui sistemi software.
2 ) Chiarire i casi
di esclusione dall'obbligo di adempiere al provvedimento.
Sono esclusi i
trattamenti effettuati in ambito pubblico e privato a fini
amministrativo-contabili
che, ponendo minori rischi per gli interessati, sono stati
oggetto delle misure di semplificazione introdotte nel corso
del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112,
conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del
Codice; Provv. Garante 27 novembre 2008).
3) Si possono
ritenere esclusi i trattamenti relativi all'ordinaria
attività di supporto delle aziende, che non riguardino dati
sensibili, giudiziari o di traffico telefonico/telematico?
Ci si riferisce ai trattamenti con strumenti elettronici
finalizzati, ad esempio, alla gestione dell'autoparco, alle
procedure di acquisto dei materiali di consumo, alla
manutenzione degli immobili sociali ecc...).
Tali trattamenti
possono considerarsi compresi tra quelli svolti per
ordinarie finalità amministrativo-contabili e, come tali,
esclusi dall'ambito applicativo del provvedimento.
4) Cosa accade se non
viene nominato alcun amministratore di sistema?
Non nominare l'amministratore
di sistema privacy può costare caro. L'omissione apre la
strada alla applicazione della sanzione prevista
dall'articolo 162, comma 2 ter, del Codice della privacy.
In caso di inosservanza dei provvedimenti di prescrizione di
misure necessarie o di divieto di cui, rispettivamente,
all'articolo 154, comma 1, lettere c) e d), è applicata in
sede amministrativa, in ogni caso, la sanzione del pagamento
di una somma da 30
mila a
180 mila
euro. Sanzioni tra l'altro incrementabili se ricorrono
situazioni aggravanti o in caso di non sufficiente
deterrenza della sanzione edittale.
Peraltro l'adempimento non
deve essere realizzato dalle piccole e medie imprese, se
trattano dati, anche in relazione a obblighi contrattuali,
precontrattuali o di legge, esclusivamente per finalità di
ordine amministrativo e contabile.
Rientrano in quest'ultima
categoria, e si è perciò esonerati dall'obbligo di nominare
l'amministratore di sistema, i trattamenti necessari per la
gestione di ordinativi, le buste paga e l'ordinaria
corrispondenza con clienti, fornitori, realtà esterne di
supporto anche in outsourcing e dipendenti.
ATTENZIONE:
una attività di supporto (ad esempio l'effettuazione e/o la
conservazione delle copie di sicurezza) affidata
permanentemente
ad una azienda/consulente esterni comporta una nomina di
fatto di tali persone al ruolo di amministratore di sistema,
e scattano tutti gli obblighi del caso. Queste stesse
attività, viceversa, se svolte
solo occasionalmente
da personaggi esterni, ad esempio per il ripristino delle
funzionalità dopo un guasto, non rientrano nell'ambito della
legge (come già detto nella risposta alla domanda 1)
|