Comunicato stampa - 23 febbraio 2009
Amministratori di sistema: prorogati i termini per gli adempimentiIl Garante privacy
ha prorogato al 30 giugno 2009 i termini per l'adozione da parte di enti, amministrazioni pubbliche, società private delle misure tecniche e organizzative che riguardano la figura degli "amministratori di sistema". Le regole erano state fissate dal Garante con il provvedimento del
27 novembre 2008.L'opportunità di unificare le scadenze previste per l'adozione di tali misure e prorogare quindi tutti i termini, è stata valutata dall'Autorità tenuto conto anche dell'ampia platea dei soggetti interessati e dei quesiti pervenuti relativi all'esatta interpretazione degli adempimenti.Il provvedimento è in corso di pubblicazione sulla Gazzetta Ufficiale.Roma, 23 febbraio 2009
stampachiudiValutazione delle caratteristiche soggettiveIn relazione al soggetto qui in esame un primo fondamentale obbligo posto dal Garante a carico del titolare di trattamento è che l'Amministratore di sistema vada, innanzitutto, ben scelto. Più in specifico, il documento in esame evidenzia che prima di attribuire le funzioni proprie di quella figura ad una determinata persona occorre verificare che essa possieda "esperienza, "capacità" e "affidabilità" in modo tale che egli sia in grado di "fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza".La formula utilizzata, peraltro, è la stessa prevista dall'articolo 29, comma 2, del D.Lgs. n. 196/2003 a proposito dell'attribuzione, in genere, del ruolo di responsabile di trattamento.Il Garante non chiarisce (come d'altronde il Codice) profili specifici di tali "qualità". Un'interpretazione di massima di tali termini fa qui ritenere che il potenziale Amministratore di sistema debba:•avere un curriculum professionale congruo in rapporto, evidentemente, alla complessità del sistema informativo e, in primis, alla natura e importanza, dal punto di vista della privacy, dei dati trattati. Così, ad esempio, un'impresa o uno Studio che tratti, in grande quantità, dati sensibili, esige una figura professionale di elevata esperienza;•possedere "capacità" adeguate, intendendo per tali competenze rapportate al previsto ambito di svolgimento delle sue attività. Così, per fare qualche esempio, la figura a cui attribuire il ruolo deve possedere, tra l'altro, una notevole capacità di analisi e adeguate competenze relative ai sistemi di sicurezza sufficienti a metterlo in grado di gestire gli obblighi, in materia di sistemi elettronici, derivanti dalla legge o da Provvedimenti del Garante;•essere affidabile. Tale ulteriore categoria di valutazione sembra essere, da un lato, ripetitiva e sintetica rispetto alle precedenti, essendo l'affidabilità, in qualche modo, sintesi della rispondenza (derivante da curriculum e da competenze possedute) di un soggetto rispetto alle incombenze da svolgere e ai fini da perseguire. In senso più lato si potrebbe comprendere nell' affidabilità una serie di qualità personali aventi "un peso" ai fini dello specifico ruolo, quali ad esempio, eticità di condotte lavorative, attenzione e serietà di comportamenti lavorativi.Al di là dei profili specifici di contenuto è da sottolineare ai titolari trattamento che tale valutazione preliminare all'attribuzione di ruolo va svolta (per come ora imposto dal Garante) anche qualora si intenda attribuire all'Amministratore di sistema una qualifica, a fini di privacy, di "incaricato di trattamento" (2).__________Nota:(2) Art. 4, comma 1, lett. h, del Codice: "Le persone fisiche autorizzate a compiere operazioni di trattamento del titolare o dal responsabile" o ancora art. 30, comma 1: "Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite".Designazioni individualiUlteriore prescrizione riguarda la natura individuale dell'attribuzione del ruolo qui analizzato.In sede di commento si può qui dire che ciò è da intendere, ai limitati fini della privacy e con effetti giuridici ad essa attinenti, nel senso che si debba individuare come Amministratore di sistema solo una persona fisica.