Pagine

Visualizzazioni totali

martedì 1 dicembre 2009

Adempimenti Privacy Amministratori di Sistema: la scadenza del 15/12 si avvicina




Recenti interventi legislativi del Garante della privacy hanno promosso l'ambito dell’integrità e della sicurezza dei dati, come forma di tutela e protezione della privacy, al centro dell’attenzione da parte di chi si trova a gestire grandi quantità di dati o a essere responsabile del loro trattamento e della loro conservazione in seno ad aziende o istituzioni. Da un lato, la legge 133/2008 ha introdotto semplificazioni in tema di privacy per professionisti e piccole/medie aziende; dall’altro, il Decreto Legislativo 207/2008 ha inasprito le sanzioni relative al trattamento dei dati non effettuato in modo corretto. In tale contesto, per quel che riguarda gli Amministratori di Sistema, la nuova normativa alla quale occorre che le società pubbliche e private si adeguino entro il 15 dicembre 2009, prevede che per gli amministratori di sistema venga adottata la procedura di identificazione informatica ovvero devono essere registrati gli accessi logici ai sistemi di elaborazioni e agli archivi informatici da parte degli amministratori di sistema. Le registrazioni del tipo access e log devono rispondere ai requisiti di completezza, inalterabilità e accesso alla verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali, la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi. In relazione a questo adempimento mi risulta che il software che consenta questo tipo di operazione abbia dei costi che difficilmente piccole realtà e direi in molti casi anche grandi realtà non possono sostenere. Mi riferisco in particolare ai tagli previsti per la scuola e al fatto che questo tipo di adempimento coinvolge appunto anche tutte le scuole italiane con responsabilità primaria del dirigente scolastico. Mi chiedo se in casi come questo non fosse meglio prima di uscire con una richiesta di adempimento ed una scadenza, interagire con quantomeno i Ministeri relativi alle realtà che verrebbero coinvolte (Istruzione, Pubblica Amministrazione, Interni etc). Se non ci sono le disponibilità economiche come si può pretendere che una P.A. che ogni giorno si trova di fronte a nuove problematiche da gestire possa metter mano al portafoglio per garantire la tutela della privacy? Perché in casi come questo non mettersi d'accordo prima e prevedere un software fatto sviluppare mediante un bando dal Ministero preposto e messo a disposizione di tutta la P.A. italiana? Infine come è possibile essere certi che la soluzione sofware che si va ad acquisire adempia esattamente ai criteri dettati dal Garante sulla Privacy? Per superare anche questo ostacolo credo che nel caso della Pubblica Amministrazione debba esserci una presa di posizione da parte del Ministro Brunetta facendo sviluppare una soluzione ad hoc che possa essere fornita gratuitamente, dando un taglio diverso a seconda della realtà (piccola, media, grande). In caso contrario ci troveremo in una situazione dove pochissime realtà saranno realmente a norma e soprattutto non si raggiungerà il risultato di fare in modo che l'operato dell'Amministatore di Sistema si possa di fatto verificare. E ci troveremo di fronte all'ennesima proroga o in alternativa ad un'adempimento non rispettato e alla successiva mancanza di controlli che di fatto non avrebbero molto senso.