A seguito delle indicazioni formulate nel corso di una consultazione pubblica indetta il 21 aprile 2009, il Garante Privacy ha emanato nuove disposizioni (Provvedimento 25 giugno 2009) per modificare il precedente Provvedimento 27 novembre 2008 concernente le misure di sicurezza applicabili agli amministratori di sistema. 

Le modifiche si giustificano con l'intento di facilitare l'adozione delle misure, anche per quelle realtà aziendali nelle quali determinati servizi informatici sono forniti da società esterne.
In tal senso l'autorità ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare anche dai responsabili del trattamento. 

Inoltre i termini per l'adozione delle misure tecniche ed organizzative sono stati prorogati al 15 dicembre 2009. 

E’ bene sottolineare che le realtà più complesse sia private che pubbliche hanno provveduto alla designazione dei propri amministratori di sistema ancor prima del Provvedimento del Garante indicandoli direttamente nei loro DPS. Pensiamo alle grandi aziende, alle unità sanitarie locali, ai grandi comuni, alle province, alle regioni. 

Lo spirito della disposizione dell’Authority si coglie ponendo attenzione ai casi in cui l’amministratore di sistema già esistente e nominato dal titolare abusava della propria posizione di onnipotenza informatica per sbirciare i dati personali degli interessati (clienti o utenti) trattati dalla struttura presso le cui dipendenze l’amministratore svolgeva servizio o presso cui prestava la propria opera. 

Proprio la registrazione di molte di queste ipotesi sul suolo nazionale spinge il Garante a indicare le avvertenze necessarie per evitare gli abusi introducendo, se del caso, anche la conservazione dei file di log inerenti l’attività degli amministratori di sistema. 

Posto dunque che il Provvedimento si rivolge maggiormente a strutture di significative dimensioni, dobbiamo chiederci quali riflessi abbia questa disposizione sulle realtà piccole e medie. 

Quali consigli pratici per queste strutture?
Per le piccole imprese, per i professionisti?

IL 4 dicembre 2009, l’Autorità Garante per la protezione dei dati personali, ha diffuso un comunicato stampa contenente un monito rivolto ai media che hanno diffuso i filmati sui maltrattamenti consumati a danno dei bambini frequentanti il “famigerato” asilo di Pistoia.

Da pochi giorni sono entrate in vigore le nuove “Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici” e forse, tra non molto, potrebbero arrivarne altre in sostituzione. Ciò per effetto della lettura combinata del D.P.C.M. del 30 marzo 2009 e della Legge 18 giugno 2009, n. 69. 

(segue)

L'Autorità intende dunque ribadire quanto segue:

• le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente.
  

• le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che< ...