PROVVEDIMENTO 27 novembre 2008 - Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154, comma 1, lettera c) e h), nonche' il disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B al medesimo Codice;

Visti gli atti d'ufficio relativi alla protezione dei dati trattati con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;

Rilevata l'esigenza di intraprendere una specifica attivita' rispetto ai soggetti preposti ad attivita' riconducibili alle mansioni tipiche dei c.d. «amministratori di sistema», nonche' di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella «Societa' dell'informazione» e dei rischi a esse associati;

Considerata l'esigenza di consentire piu' agevolmente, nei dovuti casi, la conoscibilita' dell'esistenza di tali figure o di ruoli analoghi svolti in relazione a talune fasi del trattamento all'interno di enti e organizzazioni;

Ritenuta la necessita' di promuovere l'adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare (due diligence);

Constatato che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacita', per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si e' legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;

Rilevata la necessita' di richiamare l'attenzione su tale rischio del pubblico, nonche' di persone giuridiche, pubbliche amministrazioni e di altri enti [di seguito sinteticamente individuati con l'espressione «titolari del trattamento»: art. 4, comma 1, lettera f) del Codice] che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di elaborazione utilizzati da una molteplicita' di incaricati con diverse funzioni, applicative o sistemistiche;

Rilevato che i titolari sono tenuti, ai sensi dell'art. 31 del Codice, ad adottare misure di sicurezza «idonee e preventive» in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilita' anche di ordine penale e civile (articoli 15 e 169 del Codice);

Constatato che l'individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va percio' curata in modo particolare evitando incauti affidamenti;

Considerato inoltre che, qualora ritenga facoltativamente di designare uno o piu' responsabili del trattamento, il titolare e' tenuto a individuare solo soggetti che «per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);

Ritenuto che i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 6 novembre 2008), debbano essere allo stato esclusi dall'ambito applicativo del presente provvedimento;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

Premesso:

1. Considerazioni preliminari.

   Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono pero' considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

   Gli amministratori di sistema cosi' ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attivita' sono, in molti casi, concretamente «responsabili» di...