Giovanni Arata

Privacy, admin sotto la lente

Il Garante impone una protezione pi¨ mirata per i dati personali. Gli amministratori di sistema saranno tracciati e marcati stretti in virt¨ delle responsabilitÓ che detengono. A convegno con l'Authority

Bologna - Il significato del seminario lo ha illustrato al meglio la professoressa Giusella Finocchiaro, ordinaria di diritto di Internet all'Università di Bologna, coordinatrice dell'incontro organizzato lo scorso 27 febbraio all'Università di Bologna: "Il nostro obiettivo era quello di presentare in maniera documentata i provvedimenti più recenti in materia di protezione dei dati personali, approfondendone profili di interesse e possibili criticità in dialogo diretto con l'Autorità". Ed è per questo che alla giornata, la prima di una serie che approfondirà gli intrecci emergenti tra "Diritto e Innovazione Tecnologica" è stato invitato come relatore direttamente il Dott. Claudio Filippi, Direttore del Dipartimento Libertà Pubblica e Sanità presso l'Autorità Garante.

Filippi ha illustrato prima di tutto le misure assunte in materia di semplificazione degli adempimenti sulla sicurezza dei dati personali. In questo senso, con una serie di provvedimenti successivi (qui, qui e qui), l'Autorità ha inteso semplificare l'applicazione delle norme vigenti in particolare per quei soggetti che "utilizzano solo dati personali non sensibili". In questo senso, è stata prevista la possibilità per alcuni soggetti di sostituire la tenuta del Documento Programmatico sulla Sicurezza strutturato con documenti di autocertificazione, alcuni obblighi di notifica sono stati soppressi, e sono state altresì semplificate alcune delle procedure in materia di informativa attribuzione del consenso. "Dopo diversi anni di applicazione del Codice" ha detto Filippi "ci si è resi conto che il grado di tutela richiesto dalle varie situazioni è spesso sensibilmente diverso: è difficile raffrontare le esigenze, ad esempio, di una struttura ospedaliera con quelle di un piccolo produttore di manufatti. A fronte di questo, il Garante ha voluto intervenire con alcune misure di semplificazione ed esenzione, tese a parametrare maggiormente il grado di protezione offerta rispetto alle esigenze del caso".

Ma nel corso dell'incontro si è parlato anche delle prescrizioni introdotte dal Garante in materia di identificazione e tracking comportamentale degli amministratori di sistema. La prima notizia in questo senso è che il provvedimento è stato prorogato e non entrerà in vigore prima del 30 giugno 2009. Per quanto concerne invece il merito del provvedimento, illustrato da Finocchiaro, i punti principali riguardano l'obbligo per il titolare di identificare in maniera ufficiale l'amministratore di sistema - delineandone in modo esplicito le prerogative ed il tipo di professionalità - l'obbligo di effettuare verifiche periodiche sul suo comportamento, nonché di mantenere un registro degli accessi al sistema da parte del SysAd medesimo. Il registro, recita ancora il provvedimento, deve essere mantenuto per sei mesi, e registrato su un supporto che non consenta la sovrascrittura da parte di alcuno.
Spiega Finocchiaro: "L'amministratore è a tutti gli effetti figura coinvolta nell'applicazione della normativa sulla protezione dei dati personali. In questo senso, era assolutamente opportuno che il Garante intervenisse per identificare e responsabilizzare questa figura, prevedendo anche degli strumenti che consentissero di tracciarne gli accessi". Sollecitata sulle possibili difficoltà applicative che il provvedimento comporta, invece, la docente commenta: "╚ vero: forse non sarà semplice tradurre in pratica la lettera della norma. Ma non va neppure dimenticato che il provvedimento nasce dopo diversi casi di cronaca famosi, in cui ci sono stati abusi gravi da parte dei system administrator Avendo presente quello scenario possiamo capire meglio perché siamo arrivati qui, e perché era necessario istituire una cornice di riferimento".

Nel corso della giornata si è parlato anche del recente provvedimento - non ancora approdato in Gazzetta Ufficiale - che prevede l'inasprimento delle sanzioni amministrative in tutti i casi in cui le informative sulla privacy relative alla sicurezza dei dati non vengono presentate, o vengono presentate in maniera incompleta. In queste fattispecie, ha spiegato Filippi, vengono immediatamente applicate multe che vanno dai 20.000 ai 100.000 euro, e questo a prescindere da qualsiasi profilo penale.

Giovanni Arata
54 Commenti alla Notizia Privacy, admin sotto la lente
Ordina
  • Bene, tracciamo tutto quello che fanno gli amministratori di sistema.
    Ma tutto il resto della forza lavoro che spesso ha accesso a dati ultrasensibili? Nei call center dei maggiori operatori telefonici, e' pratica indiscriminata e indisturbata da parte di chi ci lavora il controllo frequente dei dettagli chiamate di partner, amici, parenti, etc.
    Loro possono fare cio che vogliono?
    non+autenticato
  • Il problema infatti è monitorare le persone più che i sistemi. Ma chi controlla l'amministratore? e chi lo può fare a maggior ragione direi se questo è uno esterno o precario?
    Comunque al di la della dialettica io ho trovato questo che a me sembra geniale (sto provando il free)
    ObserveIT - People audit: www.observeit-sys.com
    Praticamente risolve tutti i problemi, ma aspetto vs. commenti per capirci di più...
  • Si si si tutto molto bello in burocratese.
    Ma in pratica voglio vedere l' IT Manager medio che non sa neppure dov'è la sala server a controllare il suo sysadmin.
    Poi se come già fatto notare il sysadmin è il solito co co pro assunto tramite una società esterna alla ditta per cui andrà a lavorare ????
    Alla fine si tradurrà tutto in una dichiarazione da far firmare al precario di turno
    non+autenticato
  • Leggendo i commenti la vocetta paranoica si e' messa a urlare...

    Dato che su sistmi *nix e' quasi impossibile implementare la cosa in modo non aggirabile, sta' a vedere che... rimangono solo i server microsoft.

    Qualcuno mi dica che ho torto. Per favore...Triste

    CYA
    non+autenticato
  • Hai torto. E' impossibile anche su sistemi Windows
    non+autenticato
  • di norma maggiori sono le responsabilita', maggiore dovrebbe essere la retribuzione ... un dirigente guadagna molto di piu' di un impiegato o di un quadro perche' ha responsabilita' maggiori e rischi maggiori ...
    quante persone conoscete che fanno i sysadmin che hanno quantomeno un posto fisso e guadagnano il giusto ? No perche' e' facile dare addosso a chi deve farsi carico di responsabilita', ma quando si tratta di riconoscergli i meriti (e pagarlo il giusto per le responsabilita' che si assume), tutti orecchie da mercante eh ...
    non+autenticato
  • - Scritto da: uno del mestiere
    > di norma maggiori sono le responsabilita',
    > maggiore dovrebbe essere la retribuzione ... un
    > dirigente guadagna molto di piu' di un impiegato
    > o di un quadro perche' ha responsabilita'
    > maggiori e rischi maggiori
    > ...
    > quante persone conoscete che fanno i sysadmin che
    > hanno quantomeno un posto fisso e guadagnano il
    > giusto ? No perche' e' facile dare addosso a chi
    > deve farsi carico di responsabilita', ma quando
    > si tratta di riconoscergli i meriti (e pagarlo il
    > giusto per le responsabilita' che si assume),
    > tutti orecchie da mercante eh
    > ...


    straquoto perchè sono proprio nelle condizioni da te descritte!
    ... 13 mesi all' alba!
  • Come non quotare e sottoscrivere...........................
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)