Amministratore di sistema, i buchi neri

Amministratore di sistema, i buchi neri

di Valentina Frediani - Il provvedimento del Garante sembra lasciare in sospesi alcuni nodi critici, quali l'outsourcing, le qualifiche, il logging delle operazioni dell'admin. E l'applicazione è alle porte
di Valentina Frediani - Il provvedimento del Garante sembra lasciare in sospesi alcuni nodi critici, quali l'outsourcing, le qualifiche, il logging delle operazioni dell'admin. E l'applicazione è alle porte

Si è chiusa qualche giorno fa la consultazione pubblica indetta dall’Autorità Garante in materia di protezione dati personali trattati con sistemi informatici. In realtà la consultazione pubblica sarebbe stata opportuna prima dell’emanazione del provvedimento avente forza normativa, ma soprattutto sarà da verificare cosa succederà ora, in prossimità della scadenza dell’obbligo di adeguamento normativo. Anche io come legale, avendo “masticato” il provvedimento tutti i santi giorni negli ultimi due mesi, ho prodotto delle osservazioni, qualcuna forse provocatoria, stimolata dagli informatici con cui lavoro, nettamente critici sul provvedimento, taluna indubbiamente e legalmente sensata (me lo dico da sola perché ci credo!).

Riscorrendo il provvedimento mi sono così resa conto che fondamentalmente ci sono dei “buchi neri”: non viene assolutamente affrontata la questione relativa all’ipotesi di amministratore di sistema all’estero (garantisco, molto diffusa tra le aziende italiane!) né quella ancor più diffusa relativa all’outsourcing. Nel provvedimento si parla in questo ultimo caso di obbligo di richiedere la lista identificativa dei soggetti che possono accedere in qualità di amministratori di sistema in occasione del rapporto di outsourcing, ma che se ne fa un’azienda di una lista identificativa se non seguono tutti gli altri obblighi relativamente alla loggatura? Loggo i miei amministratori di sistema interni e di quelli esterni tengo un elenco nominativo? Forse mi sfugge qualcosa. Senza considerare che sarebbe anche opportuno che il testo di legge distinguesse la disciplina in relazione ad outsourcing esterno rispetto all’outsourcing interno… situazioni giuridicamente e tecnicamente molto diverse tra loro.

Dove vogliamo poi mettere la questione relativa alla descrizione dell’evento? Negli ultimi giorni in realtà sono venuta a conoscenza di un prodotto (israeliano) che consente loggatura e descrizione degli accessi dell’amministratore di sistema senza alcun problema, come del resto di prodotti ed implementazioni ne sono usciti diversi (Microsoft stessa ha implementato i propri sistemi) ma sarebbe opportuno che l’Autorità chiarisse il concetto di descrizione. Nell’ultimo mese ne ho sentite di tutti i colori, anche di enti che terranno un registro cartaceo della descrizione degli eventi. Ritorno al passato nell’era dell’informatizzazione?!

Inoltre il provvedimento ignora un aspetto prettamente legale non indifferente: loggare gli amministratori di sistema significa fare un controllo a distanza del lavoratore… glielo vogliamo dire alle aziende ed agli enti di gestire i dati nel rispetto della privacy e dei diritti dei lavoratori? Glielo vogliamo dire che sarebbe opportuno incrementare l’informativa al dipendente amministratore di sistema e che l’accesso e la conservazione dei log non deve avere come scopo quello del controllo a distanza del lavoratore? Garanzie per tutti ma non per gli amministratori di sistema?

Il provvedimento include poi, tra gli amministratori di sistema, gli amministratori di base dati. Sono da considerarsi tali coloro che gestiscono in locale una banca dati, già nominati peraltro incaricati al trattamento? L’ipotesi è assai diffusa, ma se confermata la suddetta interpretazione – da molti sostenuta a spada tratta – verrebbe annullata la ratio del provvedimento laddove richiede di porre attenzione a figure speciali (se nomino il 50% degli operatori – in una azienda o un ente – amministratori di sistema, cade sostanzialmente la particolarità del provvedimento… senza considerare che dovranno essere tutti loggati con una massificazione di dati ingestibile e rischio alto di inapplicazione della normativa).

Inoltre il testo mi impone di individuare gli amministratori di sistema tenendo conto dell’esperienza, capacità ed affidabilità, e che tali figure siano in grado di fornirmi idonee garanzie sotto il profilo della sicurezza. Di fatto l’amministratore di basi di dati spesso è solo un incaricato che si attiene alle misure di sicurezza imposte dal titolare, quindi ha un profilo “tecnicamente” basso, non qualificato come generalmente in informatica è l’amministratore di sistema vero e proprio. Si osserva pertanto che gioverebbe un inquadramento maggiore della figura dell’amministratore di sistema, più orientato sotto il profilo informatico, dovendo osservare che il soggetto meno controllabile è quello più esperto ad eludere il controllo, e quindi in ambiente informatico non certo il singolo operatore ma l’administrator vero e proprio.

Per quanto riguarda poi i tempi di conservazione dei log, vengono imposti minimo 6 mesi. E come massimo? Forse un anno, considerato che annualmente il titolare deve fare la verifica delle competenze e capacità dell’amministratore? Può darsi, ma si brancola nel buio nell’applicare un testo che dovrebbe prestarsi a dare maggiori “istruzioni” ai destinatari dell’applicazione.
Il provvedimento di per sé ed idealmente ha una logica, ma lo sviluppo del testo normativo non può prescindere dagli aspetti tecnico-informatici ed applicativi. Altrimenti rischia di venir accantonata l’applicazione… Vedo un lungo lavoro per l’Autorità Garante, ma confidiamo in maggiori spiegazioni e più applicabilità del provvedimento!

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
4 giu 2009
Link copiato negli appunti