Osservazioni di Confindustria

Transcript

1 Consultazione pubblica su misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Osservazioni di Confindustria Premessa Il Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008, recante Misure e accorgimenti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (di seguito, il Provvedimento ), ha provocato, fin dalla sua emanazione, notevoli perplessità e dubbi interpretativi tra gli operatori e le imprese titolari dei trattamenti coinvolti. I numerosi quesiti relativi all esatta interpretazione degli adempimenti prescritti, pervenuti a Confindustria dai propri associati, l ampia platea dei soggetti potenzialmente interessati dalle disposizioni del Provvedimento e i termini iniziali - troppo brevi - per l adeguamento hanno giustificato, anche su richiesta della Confindustria, l esigenza di approfondimenti e chiarimenti in ordine alla portata e all interpretazione delle nuove regole. La previsione di procedure di consultazione nell emanazione dei provvedimenti generali dell Autorità e l analisi di impatto della regolamentazione proposta, specie alla luce dei diversi interessi coinvolti e degli effetti che tali regole sono in grado di determinare sulle strutture organizzative e operative aziendali, sono quanto mai opportuni e dovrebbero divenire la regola d azione dell Autorità nell esercizio dei poteri regolamentari previsti dalla legge. In quest ottica, sono apprezzabili i successivi interventi con cui il Garante, in una prima fase, ha prorogato al 30 giugno 2009 i termini per adempiere alle nuove prescrizioni e, successivamente, ha sottoposto il Provvedimento a pubblica consultazione e ha diffuso sul proprio sito Internet delle FAQ, per fornire iniziali chiarimenti agli operatori mediante risposta ai quesiti più frequenti. A tale ultimo riguardo, va tuttavia rilevato che le risposte del Garante solo in parte hanno permesso di precisare il contenuto delle misure disposte con il Provvedimento

2 oggetto della presente consultazione e la stessa tempistica fissata per l attuazione delle misure, pur oggetto di proroga, allo stato attuale non consente alle imprese titolari del trattamento un corretto e tempestivo adeguamento. Inoltre, come si dirà, alcune misure previste, oltre a presentare criticità attuative sul piano pratico per le imprese (si pensi agli obblighi in sede di selezione dell amministratore di sistema e di verifica annuale del suo operato ovvero a quelli di identificazione delle singole persone fisiche che operano con tale qualifica, anche nell ambito di servizi affidati in outsourcing), risultano di complicata implementazione sul piano tecnico e, quindi, eccessivamente gravose in termini di costi di adeguamento. Peraltro, in linea generale, i nuovi adempimenti imposti ai titolari del trattamento rischiano di configurare altrettante previsioni non contemplate dalla normativa di rango primario e di introdurre, in questo modo, ulteriori misure minime di sicurezza rispetto a quelle dettate dal Codice o dal Disciplinare tecnico allegato B) al Codice. In questo senso, sarebbe stato preferibile un intervento diretto a introdurre direttive e linee guida non vincolanti per la generalità dei titolari del trattamento rispetto al ruolo e alle attribuzioni degli amministratori di sistema. Sono queste premesse che motivano la richiesta, che Confindustria rivolge all Autorità, di valutare con attenzione le osservazioni e le possibili soluzioni applicative di seguito prospettate, specie con riferimento all estensione dell ambito applicativo del Provvedimento e alle conseguenze operative - ingiustificatamente onerose - che le nuove misure sarebbero in grado di determinare sulle imprese. Ciò allo scopo di apportare gli opportuni correttivi e le necessarie semplificazioni al testo del Provvedimento, in modo da soddisfare le esigenze di certezza delle imprese che si avvalgono delle funzioni degli amministratori di sistema, nonché il rispetto dei principi di semplificazione ed efficacia delle modalità previste per l esercizio dei diritti da parte degli interessati, da un lato, e per l adempimento degli obblighi da parte dei titolari del trattamento coinvolti, dall altro. Di seguito sono indicati i principali aspetti, di carattere generale e specifico, attinenti alla nuova regolamentazione in materia di amministratori di sistema, che rischiano di incidere in modo rilevante e gravoso sull operatività delle imprese e che richiederebbero, pertanto, a giudizio di Confindustria, un intervento da parte del Garante. Considerazioni di carattere generale 1. Ambito di applicazione del Provvedimento Innanzitutto, allo scopo di valutare la reale portata del Provvedimento del 27 novembre scorso, si ritiene essenziale definire in maniera corretta e puntuale l ambito oggettivo di applicazione delle misure e degli accorgimenti in esso previsti. In tal senso, il Provvedimento del Garante stabilisce che le nuove misure si applicano ai soggetti, pubblici o privati, titolari di trattamenti effettuati con strumenti elettronici, i 2

3 quali all interno della propria struttura si avvalgono di soggetti - persone fisiche o giuridiche - che svolgono le funzioni tipiche di amministratore di sistema. Sono stati espressamente esclusi dal campo di applicazione del Provvedimento, perché ritenuti meno rischiosi per gli interessati, i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, già oggetto di recenti interventi di semplificazione in sede normativa e amministrativa (cfr. art. 29 del DL n. 112/08 e Provvedimenti del Garante del 19 giugno e del 27 novembre 2008). Tuttavia, il rinvio alla nozione di trattamenti effettuati a fini amministrativo-contabili, che assume valenza risolutiva al fine sia di adempiere in maniera semplificata agli obblighi sulla sicurezza che di essere esonerati dall applicazione delle norme sugli amministratori di sistema, si caratterizza per una notevole incertezza sul piano interpretativo. Tale incertezza è dovuta anche all assenza di chiarimenti in ordine alla nozione di finalità amministrativo-contabili nell ambito dei richiamati interventi di semplificazione posti in essere dal Garante nel Una corretta interpretazione di tale nozione risulta pertanto assolutamente necessaria ai fini dell individuazione dell ambito operativo di questo, così come dei citati Provvedimenti del Garante in tema di semplificazioni. Al riguardo, il Provvedimento del Garante del 19 giugno 2008, nel semplificare taluni adempimenti in ambito pubblico e privato rispetto a trattamenti svolti per finalità amministrative e contabili, ha precisato, a titolo esemplificativo, che tali finalità ricorrono quando il trattamento dei dati è svolto - anche - in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Nel medesimo contesto, si è affermato che le informazioni trattate per scopi amministrativo-contabili sono quelle attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti, che spesso non hanno carattere sensibile o giudiziario e, tra le attività menzionate a tali fini, si è fatto riferimento alla gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti. Pertanto, con l obiettivo di fornire le dovute precisazioni agli operatori in ordine alla portata applicativa dei diversi Provvedimenti che fanno ricorso alla locuzione finalità amministrativo-contabili, sarebbe opportuno chiarire che l espressione in esame si riferisce a tutti i trattamenti connessi allo svolgimento delle ordinarie attività d impresa, a prescindere dalla natura dei dati trattati, siano essi comuni o sensibili/giudiziari. Tali ordinarie attività dovrebbero così ricomprendere il trattamento di qualsiasi informazione personale (riconducibile cioè a persone fisiche o giuridiche), anche di natura sensibile o giudiziaria ai sensi dell art. 4, lett. d) ed e) del Codice, effettuato nell ambito della gestione organizzativa, amministrativa, finanziaria e contabile, per adempiere a obblighi di legge o derivanti da contratti. In particolare, tali finalità dovrebbero rilevare rispetto alle attività di gestione del rapporto di lavoro in tutte le sue fasi, di applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro, di tenuta della contabilità. Per maggiore chiarezza, a titolo esemplificativo, dovrebbero rientrare nelle attività svolte per finalità amministrativo-contabili quelle attività riguardanti: a) i rapporti contrattuali con clienti e fornitori; b) la gestione del personale (es. trattamenti relativi allo stato di salute dei propri lavoratori, alla gestione delle trattenute, dei permessi, delle aspettative sindacali o per incarichi politici, a servizi di mensa, 3

4 permessi per festività religiose, ecc.); c) gli adempimenti nei confronti delle PA; d) tutti gli adempimenti che rientrano nella tenuta della contabilità aziendale, a fini sia civilistici che fiscali (es. contabilizzazione dei dati fiscali relativi a clienti e fornitori, predisposizione dei documenti di bilancio, ecc.); e) gli adempimenti di natura finanziaria connessi ai rapporti con banche o altri intermediari finanziari per l ordinaria gestione di conti correnti (anche di terzi, ad es., nel caso dei propri dipendenti) o per la richiesta di prestiti, linee di credito e garanzie. Alla luce di questa interpretazione, dovrebbero invece rientrare nell ambito applicativo del Provvedimento, in quanto non riconducibili a finalità di carattere amministrativocontabili, le imprese che trattano dati personali per finalità di business/commerciali (es. vendite e marketing diretti, comunicazioni pubblicitarie, recruiting, compimento di ricerche di mercato e sondaggi, prestazioni sanitarie, ecc.) o che effettuano trattamenti che presentano comunque rischi specifici (è il caso della prestazione di determinati servizi resi in ambito bancario e assicurativo o mediante reti di comunicazione elettronica). 2. Il ruolo e la definizione della figura di amministratore di sistema In linea generale, si sottolinea come il Provvedimento abbia introdotto nell ambito della struttura organizzativa del titolare del trattamento una nuova figura obbligatoria, attualmente non prevista dal Codice. Infatti, l amministratore di sistema sembrerebbe collocarsi accanto alle tradizionali e tipiche figure disciplinate dal Codice - titolare, incaricati, interessati ed eventuale/i responsabile/i del trattamento - quale ulteriore soggetto rilevante ai fini della tutela della privacy. La stessa definizione giuridica di tale nuova figura pare porsi allo stesso livello delle definizioni di cui all'art. 4 del medesimo Codice. Infatti, le scelte e le misure collegate agli amministratori di sistema sembrano escludere margini di discrezionalità in capo ai titolari del trattamento in ordine alla nomina di uno o più amministratori di sistema. Va considerato, infatti, che l amministratore di sistema, quando non è designato quale mero incaricato del trattamento ai sensi dell art. 30, sembrerebbe assumere un ruolo autonomo e un inquadramento diverso rispetto a quello che la legge attribuisce ai responsabili del trattamento ex art. 29. L invito del Garante (punto 1 del dispositivo del Provvedimento) ai titolari del trattamento a considerare l opportunità o meno di attribuire l incarico di amministratore di sistema appare privo del carattere di facoltatività, cui dovrebbe invece essere ispirato, in quanto vincolato alla presenza e all effettivo - e innegabile - esercizio all interno di qualsiasi contesto imprenditoriale di funzioni tecniche corrispondenti o assimilabili a quelle di amministratore di sistema. Ciò specie in considerazione dell ampiezza della definizione di amministratore di sistema e delle funzioni ad essa riconducibili, secondo quanto disposto nelle premesse del Provvedimento in consultazione. Il Garante infatti considera destinatari delle nuove misure e prescrizioni tutte le figure professionali che, in ambito informatico, svolgono particolari funzioni tecniche finalizzate alla gestione e manutenzione di impianti di elaborazione - o sue componenti 4

5 - con cui vengono effettuati i trattamenti, di basi di dati, di reti e flussi di rete, di apparati di sicurezza e di sistemi software complessi (es. i sistemi Enterprise Resource Planning). Preoccupa, al riguardo, ai fini della individuazione della figura dell amministratore di sistema, il rinvio alle banche dati, poiché la definizione del Codice è alquanto ampia, riferendosi a qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti (art. 4, co. 1, lett. p). Questa previsione, così come il rinvio ai sistemi software complessi, può ingenerare il rischio di dover individuare un numero eccessivo di amministratori di sistemi anche nell ambito della medesima struttura organizzativa. In via residuale, inoltre, sarebbero da qualificare amministratori di sistemi tutti i soggetti deputati, per conto del titolare, ad assolvere a gran parte delle attività tecniche e dei compiti disciplinati nell Allegato B) al Codice in tema di misure minime di sicurezza, nella misura in cui consentano di intervenire su informazioni personali (es. custodia e gestione automatizzata delle credenziali dei sistemi di autenticazione e di autorizzazione; backup e recovery dei dati e dei sistemi; gestione dei supporti di memorizzazione; manutenzione hardware e assistenza sistemistica dei server, ecc.). Tali adempimenti, come noto, hanno un applicazione generalizzata, in quanto sono imposti per legge a tutte le imprese che trattano informazioni personali con strumenti elettronici e sono, quindi, necessariamente collegati ad attività tecniche realizzate in qualsiasi contesto aziendale. Ciò che determinerebbe conseguentemente anche l obbligo - e non già la facoltà - di designazione di uno o più amministratori di sistema all interno di qualsiasi impresa titolare di un trattamento informatizzato. Né sul punto pare risolutiva l indicazione fornita nella risposta alla FAQ n. 1, pubblicata sul sito Internet dell Autorità, che esclude dalla definizione i soggetti che occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software, giacché sarebbe comunque difficoltoso discernere la natura occasionale di tali ultimi interventi. Sul punto, si rileva che sarebbe stato più opportuno mantenere il carattere di facoltatività riguardo alla nomina dell amministratore di sistema, vincolando eventualmente a tale scelta soltanto le imprese che per dimensioni o tipologia di attività si rendano realmente destinatarie dell adozione di misure e accorgimenti dotati di maggiori e rafforzate garanzie. Per quanto riguarda le richiamate criticità connesse alla definizione di amministratore di sistema sarebbe, pertanto, opportuno circoscrivere in maniera più precisa i soggetti cui le nuove regole siano davvero meritevoli di applicazione. In quest ottica, pur ritenendosi opportuno che l'attribuzione delle funzioni di amministratore di sistema debba avvenire previa valutazione delle qualità tecniche e professionali del soggetto individuato, allo scopo di garantire il rispetto delle disposizioni sulla privacy, compreso il profilo relativo alla sicurezza, appare tuttavia criticabile l attribuzione a tale figura di un ruolo autonomo rispetto a quello degli altri soggetti già previsti dal Codice. Ciò in quanto si rischia di ingenerare dubbi e difficoltà di adattamento per le imprese che sono tenute ad applicare le nuove norme, soprattutto nei casi di affidamento dell incarico all esterno, nonché indebite interferenze sull assetto organizzativo esistente delle strutture imprenditoriali. 5

6 Peraltro, tale figura è spesso già presente nei contesti aziendali, in qualità di responsabile dei trattamenti connessi alla gestione dei sistemi informativi, di banche dati o reti informatiche, anche con riguardo all adozione delle relative misure minime di sicurezza, sulla base di una scelta discrezionale del titolare del trattamento ex art. 29 del Codice. In aggiunta a quanto già osservato, si rileva inoltre che le nuove previsioni renderebbero obbligatoria la nomina delle società esterne, con le quali sussistono rapporti di collaborazione professionale, quali amministratori di sistema, anziché eventualmente quali responsabili del trattamento da esse svolto, ciò in contrasto con il richiamato principio di facoltatività della nomina dei responsabili, dettato sia dalla disciplina nazionale che dalla direttiva comunitaria di riferimento. Considerazioni di carattere specifico Le considerazioni e proposte di modifica che seguono riguardano specifici aspetti del Provvedimento, che impongono misure di carattere organizzativo e tecnico, nonché controlli alle imprese che fanno ricorso alla figura dell amministratore di sistema. 1. Valutazione delle caratteristiche soggettive Le misure previste dal Garante muovono dal presupposto secondo cui, in qualsiasi impresa o ente, l affidamento dell incarico di amministratore di sistema e lo svolgimento delle funzioni tipiche ad esso riconducibili siano da considerarsi rischiosi ai fini della disciplina posta a protezione dei dati personali e, quindi, meritevoli di maggiori garanzie e controlli. Ciò anche allo scopo di evitare che vengano compiuti illeciti, di natura civilisitica o penale (es. accessi abusivi, danneggiamenti di informazioni, programmi e sistemi informatici o telematici, frodi informatiche) mediante l abuso della qualità di amministratore/operatore di sistema. Per questi motivi, nel Provvedimento si richiama innanzitutto l attenzione dei titolari su alcune valutazioni preventive che devono essere sempre effettuate in relazione alle caratteristiche qualitative del soggetto designato (esperienza, capacità e affidabilità), che devono essere tali da garantire il rispetto della normativa privacy anche sotto il profilo della sicurezza, a prescindere dal fatto che tale soggetto sia nominato responsabile o semplice incaricato del trattamento. Al riguardo, si rileva che sarebbe opportuno ottenere qualche chiarimento in ordine alle procedura e alle modalità che possano consentire una corretta e adeguata valutazione delle caratteristiche soggettive degli amministratori di sistema. 2. Designazioni individuali Il Provvedimento al punto 2, lett. b) della parte dispositiva, prevede l obbligo di designare individualmente l amministratore di sistema, indicando in maniera analitica gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. La FAQ 6

7 n. 7 precisa altresì che la descrizione puntuale dei trattamenti consentiti all amministratore di sistema deve avvenire analogamente a quanto richiesto dall art. 29, co. 4, con riguardo agli eventuali responsabili del trattamento, al fine di evitare l attribuzione di ambiti insufficientemente definiti. Questa previsione, benchè sia stato precisato che l ambito di operatività può essere descritto in termini generali anche per settori o aree applicative, invece che per singoli sistemi o singole operazioni affidate (cfr. FAQ n. 8), continua a generare alcune perplessità. Al riguardo, va precisato che in molti casi, soprattutto nelle organizzazioni mediopiccole, tale profilo di autorizzazione non presenta limitazioni di sorta, almeno con riferimento alla tipologia dei dati. Nelle strutture che non presentano complessità ed articolazioni particolari, infatti, l'amministratore di sistema è proprio colui che deve poter disporre in ogni momento degli strumenti per accedere alla totalità dei sistemi e quindi alla totalità dei dati, per garantire la gestione e la manutenzione dei medesimi. Tipico è il caso degli amministratori di dominio, che anche quando non conoscono la componente segreta delle credenziali di accesso di un singolo utente del dominio, possono comunque modificarla e sostituirla con altra di loro creazione, procurandosi così le modalità per accedere anche all'account utente sul singolo client. Allo stesso modo, l'amministratore del dominio ha sempre la possibilità di accedere a tutti file e a tutte le cartelle del file system condiviso o del singolo client di rete, perché, anche quando gli utenti del gruppo administrators siano stati intenzionalmente esclusi tramite un diniego impostato nelle proprietà dell'oggetto, in virtù dei poteri gestionali, in qualunque momento e senza particolari accorgimenti ciascuno di essi può reinserire il profilo tra quelli che hanno un controllo completo sul file o sulla directory. Qualora vi sia l'effettiva necessità di precludere la visualizzazione di determinate informazioni agli amministratori, l'unica opzione consisterà nel crittografare i file o le cartelle interessate con appositi software. Ma una tale operazione va limitata alle effettive e imprescindibili necessità e non certo estesa in modo generalizzato a tutti i dati personali, perché potrebbe mettere a repentaglio il funzionamento complessivo del sistema e l'accesso ai dati. Pertanto, si ritiene opportuno che la frase "l'elencazione analitica degli ambiti di operatività consentiti" venga sostituita con l'"indicazione delle finalità dei trattamenti cui gli amministratori di sistema di norma hanno accesso", perché solo queste ultime possono costituire il limite giuridico della loro attività. Di norma e a titolo esemplificativo, tali finalità potrebbero consistere in: gestione e manutenzione dell'intero complesso del sistema informativo, sia sotto il profilo hardware (server, personal computer, firewall, router, modem-router, cablaggi Ethernet, switch e hub, armadi, gruppi di continuità, ecc.), sia sotto quello sofware (programmi, sistemi operativi, basi di dati e files memorizzati ed operativi a livello di singolo client, ovvero quelli installati sui server e operanti in modalità client-server, compreso il software di gestione della posta elettronica); analisi dei fabbisogni, dei flussi di lavoro, sviluppo tramite attività di programmazione, verifica del funzionamento e test applicativi degli upgrade, miglioramenti, razionalizzazioni ed ampliamenti da apportare ai data base e ai 7

8 software utilizzati, anche con necessità di comprensione del significato dei dati, del formato delle rappresentazioni e della semantica delle funzioni; attività tecniche quali il salvataggio dei dati (backup/disaster recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione, ecc. 3. Elenco degli amministratori di sistema e servizi in outsourcing Tra le misure di carattere organizzativo prescritte dal Garante rientra anche l obbligo di predisporre un elenco con gli estremi identificativi (es. nome, cognome, funzione o area aziendale) di tutte le persone fisiche designate amministratori di sistema nella struttura di appartenenza (anche quando il servizio è affidato all esterno, in outsourcing) e le relative funzioni, da aggiornare costantemente e da rendere disponibile all interno del Documento Programmatico sulla Sicurezza o, nei casi in cui non sussista l obbligo del DPS, di un documento aziendale, da esibire in caso di ispezioni. Nel caso in cui gli amministratori di sistema, per la loro attività, possano trattare anche indirettamente dati dei dipendenti dell azienda, il titolare/datore di lavoro dovrà poi rendere conoscibili all interno dell ente identità e compiti degli amministratori di sistema rispetto ai servizi informatici di loro competenza (es. mediante informativa, disciplinare tecnico interno o altre modalità di comunicazione interna, quali intranet, bollettini, ordini di servizio, ecc.). L obbligo appena descritto, ispirato a garantire la trasparenza interna all organizzazione a tutela dei lavoratori, risulta però di difficile attuazione e rischia di non essere adempiuto correttamente dal momento che, come già anticipato, sussitono dubbi e incertezze in ordine alla delimitazione stessa della figura dell amministratore di sistema. Pertanto, si ribadiscono in questa sede le perplessità già manifestate nell ambito delle Considerazioni di carattere generale. A ciò si aggiunga, inoltre, che l obbligo di identificazione determina profili di criticità in presenza di realtà aziendali complesse che sarebbero tenute a individuare e designare al loro interno decine di amministratori di sistema. Ma soprattutto, tali difficoltà aumentano laddove il Provvedimento (punto 2, lett. d) del dispositivo) impone al titolare di conservare direttamente e specificamente, ( ), gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, nelle ipotesi di incarichi affidati all esterno. In caso di servizi in outsourcing, identificare le persone fisiche preposte alla funzione di amministratore di sistema può rappresentare una difficoltà enorme sia per le imprese titolari del trattamento che per le società esterne affidatarie dell incarico di amministrazione dei sistemi. Infatti, a quest ultimo riguardo è piuttosto frequente che nelle aziende del settore ICT di maggiori dimensioni non vi sia continuità nell'identità delle persone fisiche che intervengono sui sistemi con poteri gestionali. I nominativi dei collaboratori e dipendenti della società esterna investiti di simili compiti variano continuamente e non si ritiene in concreto gestibile da parte dei titolari questo tipo di informazione, per evidenti e imprescindibili esigenze di flessibilità e continuità dell operatività aziendale del soggetto esterno, né sostanzialmente necessario ai fini della corretta applicazione degli obblighi privacy. 8

9 Tra l'altro, non è affatto detto che in questi casi la struttura esterna, che sovente interviene "da remoto", operi come responsabile del trattamento, dal momento che, molto spesso nella prassi, i trattamenti - gestionali e di manutenzione - si configurano come autonomi a tutti gli effetti, ai sensi dell'art. 28 del Codice ("titolare del trattamento è l entità nel suo complesso o l unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza). Si pensi, per esempio, alle ipotesi in cui i server dell'impresa sono in hosting o in housing presso una web farm, che garantisce non solo la connettività e l'idonea custodia dell'hardware, ma anche la gestione, la manutenzione hardware e software, il backup e il disaster recovery. Nella gran parte di questi casi, la struttura di ICT gode di una totale autonomia nelle decisioni inerenti l'implementazione delle misure di sicurezza e in quelle relative alle modalità dei trattamenti. Le stesse finalità di questi ultimi non sono dettate unilateralmente dal titolare originario, ma costituiscono l'oggetto (o, meglio ancora, la causa) di un contratto a prestazioni corrispettive, frutto dell'autonomia negoziale di entrambe le parti. Pertanto, in queste ipotesi l obbligo di identificazione prescritto dal Garante in capo al titolare del trattamento diverrebbe di fatto ingestibile e inesigibile. Sarebbe invece più opportuno responsabilizzare maggiormente il soggetto esterno che riceve l incarico professionale, rimettendo alla sua competenza la predisposizione e la conservazione dell elenco delle singole persone fisiche preposte quali amministratori di sistema. Ciò in quanto soltanto l outsourcer è in grado di predisporre, controllare e mantenere aggiornato il suddetto elenco. Tale elenco potrebbe altresì essere oggetto dei poteri di verifica annuale del titolare. D altra parte, tali previsioni potrebbero meglio essere soddisfatte in sede di autonomia negoziale tra le parti, mediante la previsione di apposite clausole contrattuali che disciplinino la gestione dei rapporti tra il titolare del trattamento e l outsourcer anche in ordine ai trattamenti effettuati in qualità di amministratore di sistema, anziché con provvedimento prescrittivo dell Autorità. Si ribadisce, infatti, che appare eccessivo il rischio sanzionatorio per i titolari del trattamento, che conseguirebbe dal non corretto adempimento dell obbligo di identificazione dei singoli amministratori di sistema esterni, quale previsto nell attuale formulazione del Provvedimento. E ciò, in special modo rispetto a quei titolari che si avvalgono di società di grandi dimensioni, in termini di risorse strutturali e umane, per lo svolgimento dei servizi di amministrazione di sistema. 4. Verifica delle attività Diversi dubbi sono stati segnalati dalle nostre associate in ordine alla natura e all estensione dei poteri di verifica del titolare del trattamento rispetto all operato degli amministratori di sistema. Il Provvedimento stabilisce infatti l obbligo di verifica con cadenza almeno annuale dell operato degli amministratori di sistema e, in particolare, della conformità dei trattamenti di dati effettuati alle norme vigenti in materia di misure organizzative, tecniche e di sicurezza (parte dispositiva, punto 2, lett. e). La FAQ n. 5 precisa altresì che le verifiche hanno ad oggetto le attività svolte dall amministratore di sistema alla luce delle mansioni a lui attribuite, compreso il profilo della sicurezza, mentre nella 9

10 FAQ n. 16 si afferma che l analisi dei log raccolti può essere compresa tra i criteri di valutazione dell operato dell amministratore di sistema, in quanto consente di verificare eventuali anomalie nella frequenza e nelle modalità degli accessi. Al riguardo, si ritiene importante sottolineare che la misura in commento non deve essere interpretata nel senso che l obbligo di verifica periodica da parte del titolare si traduca in controlli di carattere tecnico e contenutistico sull operato dell amministratore di sistema. In questo caso, infatti, si rischierebbe di tradurre il dovere di verifica in un adempimento formale, idoneo a configurare un ipotesi di responsabilità oggettiva in capo al titolare del trattamento. Peraltro, gli amministratori di sistema sono soggetti dotati di particolari competenze tecniche e professionali, adeguate alla specifica realtà tecnologica del sistema informatico utilizzato dal titolare del trattamento, per cui sarebbe comunque di fatto impensabile che le loro attività, caratterizzate da elevata specializzazione tecnica, siano sottoposte a verifiche nel merito da parte dei titolari del trattamento, privi di analoghe competenze. Sarebbe, pertanto, opportuno precisare che l obbligo di verifica del titolare possa essere assolto, ad esempio, mediante la previsione di obblighi informativi continui da parte dell amministratore di sistema, nonché nella produzione di una relazione tecnica sulla gestione del sistema informatico e delle relative misure di sicurezza. Tale relazione potrebbe riguardare: le risultanze periodiche dell attività svolta nell arco temporale considerato; l attestazione della conformità dei trattamenti effettuati alle mansioni attribuite e della loro rispondenza alle misure organizzative, tecniche e di sicurezza previste dalla legge; la segnalazione di eventuali anomalie, atipicità di gestione o altri eventi signficativi che abbiano reso inefficaci le misure di sicurezza esistenti in relazione alla disponibilità e integrità dei dati; nel caso di servizi in outsourcing, l elenco aggiornato delle singole persone fisiche preposte quali amministratori di sistema; la formulazione di proposte di miglioramento del sistema e delle misure adottate, anche rispetto a intervenuti mutamenti nell organizzazione e nell attività in relazione al progresso tecnologico. 5. Registrazione degli accessi Il Provvedimento in esame, al punto 2, lett. f) della parte dispositiva, impone ai titolari del trattamento destinatari delle nuove regole di adottare sistemi di registrazione degli accessi logici cd. access log - effettuati dagli amministratori di sistema ai sistemi informativi, sia server che client, e alle banche dati elettroniche aziendali. La tenuta delle registrazioni degli accessi informatici dovrà rispondere a specifiche caratteristiche di completezza, inalterabilità e verificabilità della loro integrità da parte del titolare e di adeguatezza rispetto agli scopi per cui è prevista, nonché essere soggetta a conservazione per un periodo minimo di 6 mesi. Al riguardo, va subito rilevato che l attuale testo del Provvedimento rischia di provocare enormi difficoltà tecniche e di far ricadere costi elevati sulle imprese di medie o piccole dimensioni che siano tenute a implementare sistemi di registrazione e controlli sugli accessi logici degli amministratori di sistemi. Per questa ragione, è apprezzabile l intervento con cui il Garante, pubblicando alcune FAQ sul proprio sito Internet, ha inteso garantire certezza e semplificazioni ai titolari del 10

11 trattamento, fornendo prime precisazioni specie in merito al significato di access log e alle caratteristiche delle registrazioni previste dal Provvedimento. In particolare, è positiva l indicazione secondo cui l adeguatezza delle caratteristiche delle registrazioni debba essere rimessa alla valutazione del titolare, che terrà conto in tal senso delle condizioni organizzative e operative della propria struttura (FAQ n. 14), così come quella secondo cui la descrizione dell evento che ha generato l accesso logico da parte dell amministratore di sistema riguardi esclusivamente l accesso interattivo a sistemi di elaborazione o a sistemi software (esclusi gli accessi alle applicazioni informatiche) e non anche le attività interattive da questi eseguite (FAQ nn. 11, 15 e 22). Con riferimento all obbligo di registrazione degli accessi è apprezzabile la risposta fornita dal Garante nella FAQ n. 4, che conferma un interpretazione avanzata da Confindustria, secondo cui nelle strutture che non presentano complessità ed articolazioni particolari tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente il ricorso a strumenti software o hardware aggiuntivi e costosi (es. registrazione locale dei dati di accesso su una postazione, idonea a fornire sufficienti garanzie di integrità). Infatti, la gran parte degli attuali sistemi operativi, sia a livello client di rete, sia a livello server, sono già dotati di strumentazioni idonee a registrare gli eventi di accesso interattivo, in quanto consentono di tracciare tutti gli accessi alla singola macchina o alle risorse di rete, compresa la memorizzazione di data e ora dell evento (timestamp). Inoltre, tali sistemi di registrazione sono idonei a garantire il requisito di inalterabilità rispetto all'amministratore di sistema, che pure gode di privilegi di accesso illimitati ai dati, in quanto non permettono la modifica dei file di log e, anche nell ipotesi ultima di cancellazione dello stesso registro, viene generato immediatamente un ulteriore record, in cui sono riportate l'indicazione dell'utente che ha lanciato il comando di cancellazione e le informazioni relative alla data e all'ora. Ciò che comunque consente di garantire la dovuta trasparenza e il controllo sull attività dell amministratore di sistema e l eventuale individuazione di responsabilità. In ogni caso, è importante ribadire che compete esclusivamente alla discrezionalità del titolare valutare l idoneità degli strumenti disponibili in azienda a realizzare gli access log ovvero decidere se adottare strumenti più sofisticati, quali la raccolta dei log centralizzata e l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell'integrità delle registrazioni. Bisogna infatti evitare di imporre a realtà organizzative che non presentano rischi elevati nel trattamento informatizzato di dati personali, soprattutto rispetto alla rilevanza della natura dei dati trattati, sistemi sofisticati, quali i log server centralizzati e "certificati", dovendo invece tale scelta essere rimessa alla decisione del solo titolare del trattamento. Questo fondamentale principio sembra essere mantenuto fermo anche rispetto alla valutazione del requisito di inalterabilità dei log, come riportato nella FAQ n. 12. Tuttavia, coerentemente con quanto poco sopra affermato, la previsione di una - seppure eventuale - esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili, appare critica in quanto potrebbe provocare confusione e incertezze tra gli operatori. Si potrebbe, pertanto, precisare che anche questa 11

12 modalità debba essere lasciata alla valutazione del titolare in relazione agli interessi e alla rilevanza dei dati tutelati. Non condivisibile appare poi l indicazione contenuta nella FAQ n. 19, che fa rientrare tra gli accessi logici degli amministratori di sistema che devono essere registrati anche le autenticazioni nei confronti dei data base management systems (DBMS). L eventuale registrazione degli accessi ai DBMS dovrebbe infatti essere limitata solo ai casi di data base di grandi dimensioni, molto articolati e strutturati, che prevedono già una procedura di autenticazione o log-in separata e distinta rispetto a quella dell utente al sistema locale, al sistema di rete o al dominio. Infine, quanto all obbligo di conservazione delle informazioni concernenti gli access log per una durata di sei mesi, tale previsione appare eccessivamente ampia e non perfettamente in linea con il principio di conservazione sancito dal Codice all art. 11, co. 1, lett. e), confermato in diversi Provvedimenti e decisioni del Garante (es. videosorveglianza), secondo cui i dati oggetto di trattamento devono essere conservati per il periodo di tempo strettamente necessario agli scopi per i quali sono stati raccolti o successivamente trattati. L obbligo in esame richiederebbe inoltre un prevedibile notevole impegno di risorse di memorizzazione, complesse procedure di copia dei log e file di log enormi, risultando in questo modo inutilmente costoso per le imprese titolari, oltre che tecnicamente complicato. Si richiede, pertanto, di ridurre il tempo minimo di conservazione dei log coerentemente con gli scopi che intende tale misura e con le esigenze dei titolari del trattamento. 6. Tempi di adozione delle misure e accorgimenti Le Considerazioni di carattere generale e specifico sopra riportate, che illustrano le principali incertezze interpretative e applicative avvertite dal sistema imprenditoriale per adempiere alle misure prescritte nei termini previsti, rendono quantomai opportuno concedere agli operatori un ulteriore congruo periodo di tempo per dare completa e tempestiva attuazione al Provvedimento. Infatti, come già anticipato, l attuale termine per l adempimento, fissato al 30 giugno 2009, appare eccessivamente ridotto, anche in considerazione delle scelte che il Garante vorrà assumere all esito della consultazione. La complessità delle procedure e degli accorgimenti tecnici che le società dovranno porre in essere per conformarsi alle prescrizioni dettate dall Autorità richiede un ulteriore differimento della scadenza del 30 giugno prossimo, in modo da consentire la massima diffusione e la più completa e corretta conoscenza delle prescrizioni in esso contenute. Roma, 30 maggio