on provvedimento del 27 novembre u.s. il Garante
per la protezione dei dati personali ha stabilito una serie di
adempimenti a carico delle aziende in relazione all’attività
dell’amministratore di sistema. Sulla Gazzetta Ufficiale n. 300 del 24
dicembre 2008 è stato pubblicato il testo del provvedimento del 27
novembre 2008 del Garante per la protezione dei dati personali dal
titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati  con strumenti elettronici relativamente alle
attribuzioni delle funzioni di amministratore di sistema".  
Il
Garante ha rilevata l’esigenza  di intraprendere una specifica attività
rispetto ai soggetti preposti ad attività riconducibili alle mansioni
tipiche dei cosiddetti "amministratori di sistema" nonché di coloro che
svolgono mansioni analoghe in rapporto a sistemi di elaborazione e
banche  di dati, imponendo nuovi adempimenti ai titolari di trattamenti
effettuati (anche parzialmente) con strumenti elettronici.
La normativa prevede in sintesi 3 obblighi:
individuazione e nomina degli amministratori di sistema
elenco degli amministratori di sistema
registrazione
degli accessi: Le registrazioni (access log) devono essere complete,
inalterabili e verificabili nella loro integrità, così da considerarsi
adeguate al raggiungimento dello scopo di verifica. Le registrazioni
devono comprendere i riferimenti temporali e la descrizione dell’evento
che le ha generate e devono essere conservate per un periodo non
inferiore a sei mesi.   

Il non rispetto della normativa prevede
le sanzioni in primis per il titolare (l’azienda e quindi il legale
rappresentante) dei dati.
Poiché l’indicazione dell’amministratore
di sistema e la tenuta dei file di log costituiscono misure minime di
sicurezza, in base alla nuova versione del d. lgs. 196/2003, così come
modificato dal d.l. 207/2008, convertito in legge del 27.2.2009, n. 14,
la loro mancata adozione determina tre sanzioni:
– civile, ex art. 15, per i danni che possono verificarsi a terzi dalla mancata adozione di tali misure http://www.sinapsinet.it/index.cfm?method=mys.news&news_id=106
– penale: arresto fino a 2 anni, ex art. 169
–
amministrativa: in ogni caso, pagamento della somma da 20.000 a 120.000
euro, con esclusione del pagamento in misura ridotta, ex art. 162, c.
2-bis.
Qualora poi si propenda per la tesi in base alla quale il
provvedimento del Garante del 27 novembre del 2008, non sia da
annoverare tra le misure minime di sicurezza, ma sia una prescrizione
di misura necessaria  ai sensi dell’art. 154 d. lgs. 196/2003, allora
la sanzione amministrativa di riferimento sarà da rinvenirsi nell’art.
162, c. 2-ter, ove il pagamento è della somma da 30.000 a 180.000 euro

Tenendo conto di quanto chiarito dal Garante,
Sinapsi Informatica propone una soluzione a costo limitato ( a partire da €
1.000,00 per 5 fonti di Log) il Legal Logger che garantisce il rispetto della normativa
garantendo un impatto molto limitato all’ organizzazione interna e al budget
aziendale.

Per informazioni più dettagliate segnaliamo il link alla nostra news:
http://www.sinapsinet.it/index.cfm?method=mys.news&news_id=106