Vorrei coinvolgere in questo post i Dirigenti Scolastici che oggi sono i titolari del trattamento dei dati e che si stanno adoperando per fare implementare il DPS così come previsto a cadenza annuale dalla normative sulla privacy (scadenza: 31/03/2009). Il 27 Novembre 2008 il Garante per la protezione dei dati personali ha emesso un provvedimento pubblicato sulla G.U. DEL 24/12/2008 relativamente a "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema". Il Garante dunque ha messo in evidenza l'importanza dei rischi legati all'impiego di amministratori di sistema da parte del titolare del trattamento dei dati. Nello specifico la nuova norma dice: "RITENUTA la necessità di promuovere l'adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche ed organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" ricordando a quest'ultimo le responsabilità civili e penali che derivano dal mancato adottamento delle idonee misura di sicurezza: "RILEVATO che i titolari sono tenuti, ai sensi dell'art.31 del Codice, ad adottare misure di sicurezza "idonee e preventive" in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilità anche di ordine penale e civile (artt. 15 e 169 del Codice)".Il Garante in buona sostanza mette in rilievo come nei sistemi informatici non adeguatamente sicurizzati, si possano manifestare "elevate criticità rispetto alla protezione dei dati", soprattutto nello svolgimento di mansioni di amministrazione di sistema o di tecniche ordinarie quali il salvataggio dei dati (backup/recovery). Il Garante prescrive dunque ai titolari (Dirigenti Scolastici) l'adozione, entro 120 giorni dalla pubblicazione in G.U. (24/12/08) e dunque entro il 24/04/2009, delle nuove ed obbligatorie misure di sicurezza nello specifico:
1. Valutazione delle caratteristiche soggettive nell'attribuzione della funzione di amministratore di sistema;
2. Designazione individuale dell'amministratore di sistema con elencazione analitica degli ambiti di operabilità;
3. Elenco degli amministratori di sistema da riportare nel DPS
4. Servizi di outsourcing. Il titolare deve comunque conservare gli estremi delle persone preposte quali amministratori di sistema;
5. Verifica delle attività degli amministratori di sistema almeno con cadenza annuale;
6. Registrazione degli accessi logici agli archivi elettronici.
I primi 5 punti sono atti formali che devono essere presi in considerazione in fase di stesura del nuovo DPS. Il punto 6 riguarda in particolare le procedure software in dotazione presso la scuola :
"Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore ai 6 mesi"
In buona sostanza le scuole devono utilizzare sistemi software che consentano di registrare gli accessi logici con un sistema di sicurezza non facilmente eludibile e devono farlo in modo che sia chiaramente rintracciabile l'evento che ha generato la registrazione (in particolare mi riferisco a procedure che gestiscano accesso a dati personali/sensibili quali i dati degli alunni o del personale).
Per completezza di informazione vedi il provvedimento sul sito del Garante.
Per meglio verificare la conformità del proprio sistema informatica alle attuali normative sulla privacy vi indico anche "Microsoft per la Privacy".
Fra i siti che parlano di privacy in generale Vi suggerisco in particolare http://www.consulentelegaleprivacy.it/ gestito ed aggiornato egregiamente dal team dell'Avv. Valentina Frediani.
Nessun commento:
Posta un commento