Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, rete, database.

Dal 15 dicembre 2009, le aziende che si avvalgano di amministratori di sistema, rete, database, dovranno adottare le misure previste dal provvedimento emanato dal Garante Privacy, tra le quali spicca l’adozione di un registro degli accessi, effettuati dagli amministratori di sistema, rete, database (di qui in avanti amministratori IT), agli strumenti elettronici (hardware e software) dell’azienda.

Tale registro (il c.d. File Access Log) dovrà

-          essere conservato per non meno di sei mesi,

-          contenere i dati relativi agli accessi logici degli amministratori IT,

-          avere caratteristiche di immodificabilità nel tempo,

-          la sua integrità dovrà poter essere verificabile.

In altre parole l’Autorità Garante ha inteso creare un sistema di controllo sulle attività effettuate dagli amministratori IT relativamente alle strutture informatiche ed ai dati in esse contenute. In questo modo si è cercato di limitare il rischio di commissione di reati da parte del personale IT che, sfruttando la qualifica di operatore di sistema ed i relativi permessi (IT), poteva abusivamente permanere all’interno di sistemi informatici contro la volontà del titolare stesso, cancellare o alterare i dati in essi contenuti o, peggio, porre in essere attività lesive o dolose.
La creazione di un registro degli accessi rappresenta un primo, sufficiente deterrente per attività illecite commesse da detto personale allorché operante in qualità di amministratore IT.

Prima di procedere oltre occorre notare che l’acquisizione e la conservazione, pro normativa, del File Access Log, è funzione di due elementi:

-          la bontà dei dati, ovvero l’effettiva rispondenza dei dati alle situazioni che li hanno generati ovvero l’impossibilità che detti dati siano modificati in origine,

-          la rispondenza del File Access Log alle caratteristiche di immodificabilità nel tempo.

Se da un lato la bontà dei dati viene assicurata dalle impostazioni IT implementate, funzione di che cosa si desidera controllare ed in quale ambito si stia operando (le misure IT saranno più stringenti per una banca, un istituto medico, uno studio legale, etc. mentre saranno graduate verso il basso per altre tipologie), dall’altro la necessità di rendere immodificabili e di integrità verificabile i dati del File Access Log, suggerisce l’uso di tecniche equivalenti a quelle dell’apposizione della data certa. In altre parole i dati dovranno essere registrati in modo da dimostrare di aver agito nei tempi previsti: i dati del File Access Log non potranno essere creati dopo le date previste.

Come si fa ad adottare un sistema di controllo nei confronti di coloro che hanno il compito di vigilare sull’efficienza dei sistemi IT e che, comunque detengono le conoscenze ed hanno la possibilità per alterare tutti i parametri e le informazioni in essi contenuti? Per rispondere a ciò occorre premettere, come già accennato, che le attività di controllo, oggetto del provvedimento, debbono essere proporzionate all’attività svolta dall’azienda titolare del trattamento, fino ad arrivare alla possibilità di non adottare le stesse, per le aziende che trattino dati personali per correnti finalità amministrativo contabili.
Ciò premesso possiamo dire che Microsoft ha un pacchetto software che permette la creazione di un file access log, che rispetta quanto indicato dal provvedimento generale dell’Autorità Garante, raccogliendo i log di sicurezza in tempo reale, dai vari server e postazioni di lavoro distribuiti in azienda e collezionandoli in un unico database SQl Server – che può essere anche esterno alla struttura del titolare – sul quale possono essere mantenuti ed oggetto di accesso da soggetti diversi dagli amministratori IT.
Il pacchetto proposto da Microsoft non è l’unico che svolge tali attività ma è, tuttavia, quello che offre maggiori garanzie dal momento che si integra meglio nei sistemi operativi Microsoft (Windows NT).
Ulteriori modalità di acquisizione e conservazione dei dati relativi agli accessi logici degli amministratori IT, possono trovare implementazione in azienda, anche in conseguenza dei costi del pacchetto software offerto dalla Microsoft: la scelta di una modalità piuttosto che di un’altra è funzione di valutazioni che sono, solitamente, demandate al consulente privacy al quale il titolare al trattamento abbia affidato l’incarico.

Il consulente privacy non deve essere necessariamente un professionista esterno: può essere, infatti, anche un dipendente della società dotato delle opportune conoscenze ed abilità esattamente come succede per gli amministratori IT.

L'incarico dell'amministratore IT deve essere affidato unicamente a soggetti che detengano:

-          i requisiti tecnici necessari, ovvero soggetti in grado di assolvere i compiti IT loro affidati,

-          la capacità di organizzare in modo qualitativamente accettabile le strutture informatiche da loro amministrate,

-          la capacità di istituire procedure atte a perseguire gli incarichi loro affidati,

-          i requisiti di onorabilità, professionalità e moralità.

Le modalità per dimostrare che gli amministratori IT detengano tali qualità, è attività affidata, di norma, consulente privacy, il quale effettua la prestazione di concerto con il titolare al trattamento.
I compiti dell'amministratore, i suoi ambiti di trattamento sono impartiti analiticamente dal titolare, il quale ha l'obbligo di verificare la persistenza dei requisiti essenziali e dell'adozione delle misure di sicurezza previste, con cadenza almeno annuale. Per strutture di particolare estensione, l'indicazione dell'ambito di trattamento può essere anche effettuata per gruppi omogenei di soggetti stabilmente operanti all'interno di una sede del titolare al trattamento.
La designazione degli amministratori deve essere riportata sul DPSS (documento programmatico sulla sicurezza), ove dovuto, o su atto autonomo da conservarsi presso la struttura del titolare e da esibire in caso di richiesta da parte dell'Autorità Garante.
Nel DPSS aziendale, o nell'atto autonomo sostitutivo, gli amministratori sono indicati individualmente, unitamente alle funzioni ricoperte ed ai propri ambiti operativi consentiti. Costituisce eccezione il caso in cui l’incarico di amministratore IT sia affidato ad una ditta esterna (outsourcing): in tal caso sia l’onere di detenere elenco contenente gli estremi identificativi amministratori IT che l’istituzione di un File Access Log, potrà essere espletata direttamente dal Responsabile esterno ovvero dall’outsourcing.
Nel caso in cui i dati accessibili agli amministratori siano dati personali dei lavoratori, è onere del titolare al trattamento circolarizzare gli estremi identificativi degli amministratori IT (o delle ditte di outsourcing) nonché il relativo ambito lavorativo (classi di software ed hardware), attraverso i consueti strumenti di comunicazione utilizzati in azienda, come informativa al trattamento, disciplinari tecnici (come nel caso dei disciplinari dovuti per la regolamentazione della navigazione internet e dell'uso della posta elettronica), messaggi a mezzo della rete intranet, ordini di servizi, bollettini, bacheche aziendali, etc.  

Per talune casistiche da verificarsi in sede di auditing, è possibile che l’azienda possa essere esentata dall’adozione delle misure previste dal provvedimento.