Preg.mo Avv. Solignani, ho letto della recente entrata in vigore del provvedimento del Garante Privacy (ovvero http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 ossia “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” e http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831 ossia “Amministratori di sistema: occorre massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola”) con il quale si stabiliscono una serie di adempimenti che il titolare del trattamento dati deve mettere in atto per verificare l’operato degli amministratori di sistema. Preciso anche di aver sommariamente letto anche il documento con cui vengono presentate le misure per la semplificazione normativa (http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218). Io gestisco un sito Internet (a titolo esemplificativo, “MIOSITO.IT”) che è a sua volta collegato, per rapporti commerciali ed editoriali, con una società editoriale più grande (a titolo esemplificativo “ABC S.p.A.”). Il sottoscritto è proprietario e gestore del sito “MIOSITO.IT”. Nell’informativa sulla privacy, pubblicata su “MIOSITO.IT”, ho quindi indicato me stesso o comunque la mia ditta individuale come titolare del trattamento dati. Non gestisco dati sensibili in senso stretto ma esclusivamente archivi di indirizzi e-mail dei lettori, nomi, cognomi e talvolta indirizzi. Il server che utilizzo per rendere fruibile “MIOSITO.IT” è fornito, in base ad accordi contrattuali, da “ABC S.p.A.”. Alcuni tecnici (amministratori di rete / di sistema) del provider di riferimento di “ABC S.p.A.”, presso il quale il server è installato, conoscono le credenziali di accesso al mio server. L’attività più “pesante” di gestione del server è svolta dal sottoscritto (immagino quindi sia assimilabile ad un amministratore di sistema) che però è anche titolare della ditta individuale che ha la proprietà di “MIOSITO.IT” e che è responsabile del trattamento dati. Ciò premesso, quali sono gli adempimenti che il sottoscritto e/o “ABC S.p.A.” devono effettuare in seguito alle recenti disposizioni del Garante Privacy? Per tenere traccia degli accessi degli amministratori di sistema, pensa possa essere sufficiente l’utilizzo del “registro eventi” di Windows lato server? Avendo a suo tempo redatto il DPS (“Documento programmatico sulla sicurezza”) quali modifiche ritiene debbano essere eventualmente operate? Come domanda accessoria, faccio presente che mi affido ad un soggetto terzo (società privata) che fornisce l’infrastruttura hardware/software per l’invio di una newsletter informativa periodica agli iscritti. Il sottoscritto gestisce la newsletter e può avere accesso, ovviamente, all’elenco degli iscritti. Gli interventi tecnici sulla piattaforma hardware/software per l’invio della newsletter sono tuttavia svolti autonomamente dal soggetto terzo. Come debbo comportarmi in questo caso? Negli ultimi provvedimenti, si fa riferimento al documento “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali” (http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218) solo per quanto riguarda i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008). Non è chiaro se un soggetto come il sottoscritto possa rientrare o meno nella “semplificazione”, ed eventualmente in che misura. Scusandomi per la prolissità del mio quesito, La ringrazio vivamente e Le porgo distinti saluti.
Premesso che rispondere alla Sua domanda richiederebbe conoscenze soprattutto informatiche che non piuttosto giuridiche, posso cercare di interpretare il testo del provvedimento da Lei citato.
Questi sono i nuovi obblighi che il Garante per la privacy ha introdotto in capo agli amministratori di sistema.
Innanzitutto l’obbligo di conservare gli “access log” per almeno sei mesi in archivi immodificabili e inalterabili. Attenzione però! Tale obbligo non è a carico esclusivamente degli amministratori di sistema, ma anche degli amministratori di rete o dei database.
In pratica le registrazioni devono possedere tutti i riferimenti relativi al tempo e alla descrizione dell’evento e devono essere conservate, appunto, almeno per sei mesi.
Se Lei è l’amministratore unico del sistema, ovviamente dovrà essere ben indicato e riconoscibile nel DPS aggiornato annualmente.
E’ evidente, a mio parere, che la Sua qualità di amministratore di sistema deve essere resa nota agli interessati anche tramite la società editoriale a cui il Suo sito è collegato, visto che i dati privati potrebbero rimbalzare tra l’uno e l’altra.
Per quanto riguarda in fine il sistema migliore per tenere traccia degli accessi, sinceramente non ho le competenze tecniche adeguate per risponderLe, per cui Le consiglio vivamente di rivolgersi a un bravo tecnico informatico.