Le prescrizioni in merito alle disposizioni per gli “AdS”, gli Amministratori di Sistema, oggetto dell’ultimo comunicato del Garante della Privacy, altro non fanno che conclamare uno stato confusionale già evidente da tempo e che in concomitanza della scadenza di oggi, 15 dicembre, rende ancora più indefinibile la situazione reale.
La maggior parte delle definizioni e precisazioni espresse non evidenziano specificità “giuridicamente valide” in caso di contestazioni o problemi che potrebbero approdare in sede giudiziaria o di contenzioso. È lecito domandarsi quante imprese od enti abbiano definito nel mansionario e/o nella lettera di assunzione di un responsabile dell’ambito informatico la “figura professionale” di “amministratore di sistema”, e più ancora cosa possa legalmente essere considerato “figura equivalente”.
A cosa poi si potrebbe applicare, dal punto di vista oggettivo, la precisazione che ” Le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità, e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi… “? Figura e contesto quindi ancora più difficili da circoscrivere, anche comparando i parametri usuali di definizione di PMI con quelli europei o internazionali, nonché dei relativi sistemi informatici, per non parlare della possibilità di “dedicare” allo scopo figure professionali…
D’altronde, l’attribuzione di nuove funzioni, se non definite al momento dell’assunzione, è comunque soggetta a negoziazione e non può essere attribuita “de facto” o sottointesa. Al riguardo, con riferimento all’incarico di AdS vengono in mente un paio di considerazioni:
1) lato lavoratore: se la nomina ad AdS comporta l’attribuzione di nuove/diverse funzioni (rispetto a quelle elencate nel contratto iniziale) il dipendente potrebbe/dovrebbe opporsi, a meno che non vi sia anche una adeguamento del trattamento economico; inoltre l’AdS così nominato dovrebbe avere a disposizione un budget adeguato per svolgere il suo (nuovo) incarico o chiedere (per iscritto) che venga adeguato (in mancanza si potrebbe dedurre che i mezzi a sua disposizione siano sufficienti…)
2) lato azienda: nominare come AdS un soggetto non titolato/competente potrebbe non aver alcun effetto, poiché potrebbe subentrare un problema di culpa in eligendo.
Infine gli “aspetti tecnici” che vengono nuovamente enfatizzati rendono ancora più fallibile il contesto di applicazione del provvedimento, poiché sono in massima parte incongruenti rispetto alla normativa pubblicata in Gazzetta Ufficiale.
La prescrizione di “inalterabilità dei log” non viene soddisfatta praticamente dalla maggior parte (o totalità?) dei software esistenti a “basso costo” o “open source”, poiché si limitano a “copiare” periodicamente i dati registrati sugli “event log” dei sistemi, generati da “servizi” che qualunque amministratore o suo equivalente può fermare, sovrascrivere, modificare, posticipare, prima della “copia”.
La maggior parte (o la totalità?) delle prescrizioni di cui all’art. 4.5 del provvedimento, del successivo punto 2.F e dei quesiti 4,11 e 12 delle FAQ non riesce a dipanare un dilemma che rimane sotteso e mai abbastanza pubblicamente espresso. Si ponga il caso che un amministratore di sistema “infedele” o più spesso un qualunque operatore informatico aziendale od anche fornitore esterno, in possesso di credenziali amministrative per attività ordinarie e/o straordinarie di manutenzione, acceda con finalità volontariamente diverse da quelle di gestione del sistema informatico (furto, danneggiamento, divulgazione etc). I log prescritti non sono relativi alle applicazioni (FAQ 15) ma solo all’accesso ai sistemi, le “anomalie” di accesso ai sistemi (FAQ 16) sono eliminabili facilmente da qualunque professionista informatico “infedele”, operando direttamente sui file di log (normalmente editabili come un txt) magari fermando preventivamente il servizio di registrazione degli eventi o l’orario di intervento sul sistema stesso prima che il software “open source” o a basso costo” ne faccia copia. Che effetti legali potrebbe avere quanto sopra descritto? E quali “colpe”, oltre che per il D.lgs 196/03 , ai sensi del D.lgs 231/01 , (che prescrive di adottare misure di controllo idonee da parte degli amministratori di società/titolari rispetto alle responsabilità amministrative) si configurano per chi, scegliendo prodotti non adeguati, o avendo seguito consigli impropri in merito, non dispone di log “certificabili” dal punto di vista “forense”?
Andrea Buti e Paolo Menichelli
www.dirittomoderno.it