Man mano che si avvicina il 25 maggio 2018, data di entrata in vigore definitiva, anche da un punto di vista sanzionatorio, del nuovo Regolamento Europeo per la protezione dei dati personali, in molti si stanno chiedendo che cosa succederà all’attuale normativa italiana (d.lgs.196/2003) e a tutti i Provvedimenti che l’Autorità Garante italiana ha emanato in tutti questi anni.
“Il d.lgs.196/2003 muore definitivamente con il regolamento Europeo? E con esso tutti i Provvedimenti in materia del Garante?”
In realtà si percepisce un po’ di confusione generalizzata per cui occorre fare un minimo di chiarezza.
In primo luogo occorre ricordare che il nuovo GDPR (Regolamento CE 2016/679) costituisce
l’esplicito superamento della precedente Direttiva Europea 96/45/CE in materia e non automaticamente della normativa italiana d.lgs.196/2003. La normativa italiana attuale d.lgs.196/2003 procede effettivamente dalla Direttiva Europea 96/45/CE ma anche, ad esempio, dalla successiva Direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche. Già questo è sufficiente per comprendere che non tutta la normativa attuale italiana in tema di privacy “morirà” con l’avvento del GDPR.
Potremo dire che l’attuale quadro giuridico nazionale privacy verrà in gran parte superato dal nuovo Regolamento ma non completamente. Alcuni articoli del d.lgs.196/2003 rimarranno validi e soprattutto le Linee Guida, i Provvedimenti e altri interventi regolatori emanati dalla nostra Autorità di Controllo (Garante Privacy), ove compatibili e non in conflitto con le nuove regole.
In questo periodo transitorio arriveranno certamente puntuali chiarimenti da parte della nostra Autorità Garante e interventi legislativi volti a chiarire gli aspetti di interpretazione e di possibile conflitto.
In particolare sulla tematica “Amministratori di sistema” non sono ipotizzabili cambiamenti nel breve-medio termine, in quanto la tematica è stata sviluppata dal Provvedimento in materia dell’Autorità Garante italiana del 25/11/2008 (e s.m.i. del 25/9/2009) e il GDPR non scende su questo tema specifico.
Per cui gli obblighi in materia continueranno sempre ad essere i seguenti:
- E’ obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
- I titolari sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer) - Il Titolare deve adottare sistemi idonei alla registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto.
- Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.
Inoltre vi è una particolare richiesta del Provvedimento che non sempre viene considerata ed espletata dal Titolare:
- L’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite.
Questo obbligo periodico spesso viene disatteso nonostante costituisca uno dei principi fondanti del Provvedimento. Inoltre, alla luce del principio di “accountability” del nuovo GDPR, questo obbligo risulta rinforzato. Il concetto di “accountability” (responsabilizzazione nella traduzione italiana) non era espressamente contenuto nella Direttiva 95/46/CE, ma era stato parzialmente anticipato dal Gruppo di Lavoro ex art. 29 nel parere n. 3/2010. In base a tale principio, l’art. 5 del GDPR individua nel Titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali; precisamente nell’art.24 è indicato che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità ai principi fondamentali della disciplina in materia.
Vuoi maggiori informazioni sulle nostre soluzioni relative alla gestione dei log degli amministratori di sistema? Continua a leggere qui -> https://www.compet-e.com/index.php/amministratore-di-sistema/