1. Misure relative agli amministratori di sistemaProvvedimento del Garante Privacy 27/11/2008
2. Le Norme16/12/2009Roberto Mozzillo2Provv. Garante 27/11/2008 (GU n. 300 del 24/12/2008)Provv. Garante 21/04/2009 (Avvio consultazione pubblica con richiesta di osservazioni e commenti entro il 31/05/2009)Provv. Garante 25/06/2009 (Modifiche al Provv. originario e proroga dei termini dal 30/06/2009 al 15/12/2009)
3. Chi 竪 soggetto?03/04/2009Roberto Mozzillo3Alle nuove misure devono attenersi tutti i Titolari dei trattamenti effettuati con strumenti elettronici, salvo quelli coinvolti nelle misure di semplificazione
4. Chi non 竪 soggetto?03/04/2009Roberto Mozzillo4I titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto delle misure di semplificazione: art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133art. 34 del CodiceProvv. Garante 27 novembre 2008Le PMI come definite nel Decreto MSE del 18 Aprile 2005 Art. 2. La categoria delle microimprese, delle piccole imprese e delle medie imprese (complessivamente definita PMI) e' costituita da imprese che:hanno meno di 250 occupatihanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.
5. Chi sono gli AdS?03/04/2009Roberto Mozzillo5Amministratore di sistemaAmministratore di basi di datiAmministratore di reteAmministratore di apparati di sicurezzaAmministratore di sistemi software complessi (ERP)
6. Chi sono gli AdS?03/04/2009Roberto Mozzillo6 nominato amministratore sistema, di database, di rete o di software complessi chi, in ragione delle proprie mansioni, riceve attributi, privilegi o accessi che sono associati ad un sistema di elaborazione o alle sue componenti;tali privilegi o accessi sono richiesti per svolgere attivit di system support o di manutenzione;chi possiede lautorit di sistema potrebbe, in astratto, operare impropriamente in modo da alterare i sistemi di elaborazione affidatigli o accedere, senza la necessaria autorizzazione, a dati ed informazioni dellazienda al di fuori del proprio ambito di competenza;le attivit che competono allamministratore di sistema, di database, di rete o di software complessi devono essere esplicitamente autorizzate dal Titolare o dal Responsabile dei Sistemi Informatici
7. Quali gli adempimenti?03/04/2009Roberto Mozzillo7Valutazione di caratteristiche soggettive necessario valutare lesperienza, la professionalit, laffidabilit, la conoscenza ed il rispetto della normativa sulla protezione dei dati
8. Tali criteri di valutazione sono analoghi a quelli richiesti per la designazione dei Responsabili ai sensi dellart. 29 del Codice (D.L. 196/03)Quali gli adempimenti?03/04/2009Roberto Mozzillo8Nomine individualiLa nomina ad amministratore di sistema deve avvenire su base individuale
9. Occorre dettagliare lambito di azione consentito in base al profilo di autorizzazione assegnatoIn caso di incauta o inidonea designazione si potrebbe andare incontro a responsabilit di ordine penale e civile (violazione delle misure minime di sicurezza, responsabilit civile da trattamento dati personali)
10. Quali gli adempimenti?03/04/2009Roberto Mozzillo9Tenuta dellelenco nominativo degli AdSElenco annotato nel DPS o in un documento internoConoscibilit degli amministratori di sistema addetti a trattamento di dati del personale (Amministratori che gestiscono servizi o sistemi che trattano informazioni di carattere personale dei lavoratori: ad es. sistemi per il controllo dei dati di navigazione, sistemi di gestione delle paghe)Obbligo di informativa ai lavoratori ai sensi dellart. 13 del Codice (D.L. 196/03)Utilizzo di bollettini, Intranet, procedure formalizzate
11. 03/04/2009Roberto Mozzillo10Quali gli adempimenti?Servizi in OutsourcingSe i servizi di amministrazione di sistema sono eseguiti in outsourcing, il titolare chiede al responsabile esterno di formare e rendere disponibile lelenco degli amministratori di sistema addetti ai trattamenti di sua pertinenzaRegolamentazione delladempimento nel quadro del contratto di servizio o della nomina a Responsabile
12. 17/12/2009Roberto Mozzillo11Quali gli adempimenti?Controlli periodiciI titolaridevono effettuare controlli, anche mediante lanalisi dei log, (Audit tramite OdV o altro organo indipendente per evitare conflitti di interesse) almeno su base annuale
13. Si deve verificare che loperato sia conforme alle misure tecniche, organizzative e di sicurezza previste dalla normativa, nonch辿 alle istruzioni ricevute
14. La natura del controllo deriva dalla norma che attribuisce al Titolare un obbligo di vigilanza sulloperato del Responsabile del trattamento03/04/2009Roberto Mozzillo12Quali gli adempimenti?Registrazione degli accessiGli accessi logici da parte degli AdS alle risorse ed agli archivi (solo ed esclusivamente il login, il logout ed i tentativi errati) devono essere registrati da adeguati sistemi informatici
19. I log devono essere conservati per almeno 6 mesiQuali le sanzioni?03/04/2009Roberto Mozzillo13In caso di ispezioni che dovessero accertare che il Titolare che si 竪 avvalso della autocertificazione (cio竪 abbia adottato i cosiddetti criteri di semplificazione) risulti scoperto sul fronte della sicurezza minima ed adeguata, le conseguenze potrebbero essere le seguenti:misure minime di sicurezza: contravvenzione (oltre a sanzione amministrativa) sanabile con il meccanismo del ravvedimento operoso (art. 169 Dlgs 196/2003) + delitto ben pi湛 grave di falso ideologico del privato in atto pubblico (applicazione per costante giurisprudenza del Consiglio di Stato dellart. 483 cp).
20. misure di sicurezza adeguate: anche in tale contesto - di per s辿 non 竪 assistito da sanzione penale autonoma -potrebbe configurarsi il delitto di falso ideologico del privato in atto pubblico (applicazione per costante giurisprudenza del Consiglio di Stato dellart. 483 cp)Quali le sanzioni?03/04/2009Roberto Mozzillo14162 comma 2 -terInosservanza dei provvedimenti di prescrizione di misure necessarie o didivieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d)164 bis comma 1Se taluna delle violazioni di cui agli articoli 161, 162, 163, e 164 竪 di minoregravit, avuto altres狸 riguardo alla natura anche economica o socialedell'attivit svolta164 bis comma 2Caso di pi湛 violazioni di un'unica o di pi湛 disposizioni . , commesse anche intempi diversi in relazione a banche di dati di particolare rilevanza odimensioni. Non 竪 ammesso il pagamento in misura ridotta164 bis comma 3Casi di maggiore gravit e, in particolare, di maggiore rilevanza del pregiudizioper uno o pi湛 interessati, ovvero quando la violazione coinvolge numerosiinteressati164 bis comma 4Caso in cui le sanzioni possono risultare inefficaci in ragione delle condizionieconomiche del contravventore30.000 - 180.00012.000 - 72.000[Due Quinti]50.000 - 300.00060.000 - 360.000[Doppio ]120.000 - 720.000[ Quadruplo]
