Amministratore di sistema, rimandato a dicembre

di Valentina Frediani - Il Garante ha tenuto conto dei malumori degli addetti ai lavori. Ma il testo del provvedimento resta pressoché inalterato per ciò che riguarda i nodi critici

Roma - Ebbene sì: tutti ci confidavano. La scadenza del 30 giugno per l'adozione delle misure inerenti gli amministratori di sistema, è stata prorogata. Data slittata al 15 dicembre 2009. Possiamo tirare un sospiro di sollievo?

Non tanto. Il provvedimento di proroga non ha impattato molto sul testo originale. A parte qualche aggiunta qua e là in merito alle competenze del responsabile (responsabile privacy o della sicurezza? Responsabile del trattamento...) l'Autorità non ha modificato gli adempimenti basilari. La proroga più che altro si presume essere il risultato dello spoglio del materiale pervenuto presso l'Ufficio del Garante a seguito della consultazione pubblica.

Vicenda anomala, quest'ultima. Il 28 novembre 2008 l'Autorità Garante in materia di trattamento dati personali emanava il provvedimento sull'amministratore di sistema. Solo diversi mesi dopo (a maggio) lanciava dal sito istituzionale una pubblica consultazione con la quale chiedeva espressamente di ricevere "osservazioni" sul provvedimento in oggetto. E le osservazioni non devono essere mancate! Vicenda anomala, dicevo. In genere sarebbe stato auspicabile che la consultazione pubblica venisse anticipata prima dell'emanazione del provvedimento. Oppure che avesse ad oggetto una bozza di provvedimento, se proprio vogliamo utilizzare lo strumento della pubblica consultazione. Fatto sta che l'Autorità deve aver trovato particolarmente allarmanti le osservazioni pervenute.
Nel provvedimento di proroga datato 25 giugno nelle premesse si legge espressamente che il Garante (ai fini dell'emissione del provvedimento di proroga) ha tenuto conto dei numerosi contributi pervenuti, sia da singoli titolari del trattamento sia da associazioni rappresentative di categoria, che evidenziano taluni problemi applicativi relativi alla completa attuazione di alcune delle misure e degli accorgimenti prescritti nel Provvedimento; inoltre ha considerato che, oltre ai predetti contributi, sono pervenute anche richieste di differimento dei termini indicati nel provvedimento del 12 febbraio 2009; ha rilevato pertanto l'opportunità di integrare e parzialmente modificare il Provvedimento recependo alcune delle indicazioni emerse nel corso della consultazione pubblica per facilitare il corretto adempimento alle prescrizioni impartite, senza compromettere il livello di tutela assicurato agli interessati. Insomma, la mezza sommossa popolare avvenuta trasversalmente in tutti i settori dove vi sono "fruitori di amministratori di sistema" ha dato qualche risultato.

Risultati per taluni ancora non soddisfacenti. Restano fermi i punti più critici: l'obbligo di conservare minimo sei mesi i log di accesso degli ADS, nonché la descrizione dell'evento che ha generato l'accesso, che dovranno essere conservati in modo completo, integro e inalterabile. Il problema nel provvedimento è da sempre annidato in questo punto. Intanto perché tecnicamente complesso procedere a quanto sopra. Secondariamente perché conservare solo l'evento che genera l'accesso dell'ADS non vuole dire certo profilare le attività del medesimo, rendendo così parzialmente vano la volontà di monitoraggio dell'ADS espressa nelle premesse del provvedimento. Forse che la proroga rappresenti un primo passo per "valutare" una riformulazione di alcuni passaggi, senza essere costretti a combinare il testo del provvedimento con le FAQ pubblicate sul sito del Garante (che nella "gerarchia delle fonti" lasciano un po' di perplessità)?

Nel frattempo molte realtà aziendali e pubbliche si sono organizzate: tutto sommato taluni hanno scoperto di avere davvero vulnerabilità sul fronte ADS, in particolare sugli ADS esterni, spesso non detenendo una vera e propria mappatura dei medesimi. Altri hanno verificato la commistione esistente sui ruoli degli ADS interni, procedendo ad una riformulazione anche degli organigrammi. Insomma, benché un po' forzate, alcune conseguenze in materia di "sicurezza" non sono mancate... e non siamo ancora al 15 dicembre!

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it
57 Commenti alla Notizia Amministratore di sistema, rimandato a dicembre
Ordina
  • Comunque una cosa i gestori di DB la devono capire: non tutti i dati sono uguali d'ora in avanti le "colonne" sensibili devono essere protette.
    Oggi proteggere una colonna significa il più delle volte toglierla da dove è adesso. e metterla da un altra parte. Penso che pochi abbiano un DB in grado di garantire alcunchè....
  • Se solo avessero copiato la legge americana almeno si capiva cosa volevano.

    http://www.manageengine.com/products/eventlog/sox-...
  • ... scusate ma non ho capito come si puo' credere che un amministratore di sistema posso installare e configurare un software che logghi la su attivita' di amministrazione aldila' della sua volonta'?? e per di piu' in maniera inalterabile?? ma dove esiste questa roba??

    di qualsiasi cosa si tratti, se lo posso installare e configurare vuol dire che con questo fantomatico software ci posso fare quello che voglio: lo accendo, lo spengo, gli faccio loggare solo quello che voglio, quando voglio... ma che attendibilita' volete che abbia??

    se voglio essere scorretto o approfittare della mia posizione come si puo' pensare che saro' ostacolato da qualcosa che ho messo su io??

    (ovviamente se il sistema e' stato predisposto da qualcun'altro sara' quest'ultimo a poter fare quello che vuole...)

    mah??

    mi piacerebbe che invece delle faq mettessero su qualche "case study" per dare qualche esempio...
    non+autenticato
  • Ci sono un miliardo e mezzo di maniere per collegarsi senza lasciare traccia nei logs.
    non+autenticato
  • solite kakkiate italiane con pseudoregolamentazioni psicotiche come sempre...10 anni fa ho messo tutto all estero ben sapendo i casini che combina l italia..alla larga niente rogne e burocrazie.
    non+autenticato
  • Concordo al 100%.

    L'idea buona c'è: inserire nel cranio delle persone il fatto che c'è un (o più) "amministratore di sistema" e che quindi è una persona che va scelta con cura, nonché va espressasmente indicato a tutti gli interessati chi è questo AdS e cosa può fare.

    L'idea cattiva è il resto dell'implementazione. Seghe mentali su situazioni irreali, in quantità enormi.

    Come tutto il resto della 196/2003 insomma.

    E finirà come tutto il resto della 196/2003 nelle PMI, cioè sostanzialmente in 2 punti
    a) Pagare una ditta esterna che crei un pacco di carte da presentare in caso di controlli della finanza, senza fare nulla di oggettivamente riorganizzativo.
    b) Fare un leggero ritocco estetico alle funzionalità della propria rete, ovviamente spandendo soldi sempre verso le solite direzioni (Microsoft in prima fila).

    Alla finfine la domanda è questa: a cosa serve BASTONARE migliaia di PMI che non fanno male a nessuno, se poi i dati se li fregano lo stesso quei quattro ladri delle società di marketing, callcenter & c, amici di Silvio che grazie a proroghe varie possono comunque continuare ad invadere e calpestare la privacy altrui ?

    viva l'italia !Triste
  • - Scritto da: entromezzanotte
    > Concordo al 100%.
    >
    > L'idea buona c'è: inserire nel cranio delle
    > persone il fatto che c'è un (o più)
    > "amministratore di sistema" e che quindi è una
    > persona che va scelta con cura, nonché va
    > espressasmente indicato a tutti gli interessati
    > chi è questo AdS e cosa può
    > fare.
    >
    > L'idea cattiva è il resto dell'implementazione.
    > Seghe mentali su situazioni irreali, in quantità
    > enormi.
    >
    > Come tutto il resto della 196/2003 insomma.
    >
    > E finirà come tutto il resto della 196/2003 nelle
    > PMI, cioè sostanzialmente in 2
    > punti
    > a) Pagare una ditta esterna che crei un pacco di
    > carte da presentare in caso di controlli della
    > finanza, senza fare nulla di oggettivamente
    > riorganizzativo.
    > b) Fare un leggero ritocco estetico alle
    > funzionalità della propria rete, ovviamente
    > spandendo soldi sempre verso le solite direzioni
    > (Microsoft in prima
    > fila).
    >
    > Alla finfine la domanda è questa: a cosa serve
    > BASTONARE migliaia di PMI che non fanno male a
    > nessuno, se poi i dati se li fregano lo stesso
    > quei quattro ladri delle società di marketing,
    > callcenter & c, amici di Silvio che grazie a
    > proroghe varie possono comunque continuare ad
    > invadere e calpestare la privacy altrui
    > ?
    >
    > viva l'italia !Triste
    servono a far vedere che sono bravi, anzi all'avanguardia!!
    Però a me che non sono sull'elenco del telefono mi continuano a telefonare TUTTE le società di telefonia sian fissa che mobile.
    Massi spacchiamo i coglioni all'artigiano, magari facciamogli spendere soldi in inutili consulenze... tanto la sua voce è debole... e si sa che gli artigiani e i piccoli imprenditori son o tutti evasori fiscali,datori di lavoro nero, sfruttatori di immigrati e omicidi bianchi.
    fanculo idaglia
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)