News

Amministratori di sistema: proroga dei termini per l'adozione delle misure

A seguito delle indicazioni formulate nel corso di una consultazione pubblica, il garante della privacy ha emanato nuove disposizioni per modificare il precedente provvedimento concernente le misure di sicurezza applicabili agli amministratori di sistema.

Le modifiche si giustificano con l'intento di facilitare l'adozione delle misure, anche per quelle realtà aziendali nelle quali determinati servizi informatici sono forniti da società esterne.

In tal senso l'autorità ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dai responsabili del trattamento.

Inoltre i termini per l'adozione delle misure tecniche ed organizzative sono stati prorogati al 15 dicembre 2009.

Di seguito riepilogo, per comodità, le porzioni del provvedimento originario oggetto delle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:


Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Aggiunta del punto 3-bis:

dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali".

Marketing: il consenso all'uso dei dati personali deve essere libero

Ancora una pronuncia del garante della privacy sulle caratteristiche del consenso all'utilizzo dei dati personali, soprattutto per finalità promozionali o di marketing, e sulle modalità con le quali dovrebbero (il condizionale è d'obbligo, vista la situazione di inadeguatezza diffusa) essere realizzate le form su web per consentire una corretta manifestazione di volontà da parte degli interessati.

Nel caso specifico, che ha riguardato una società specializzata nella vendita online di biglietti per eventi di vario genere, l'autorità ha ribadito che:

gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; tale capacità di autodeterminazione non è assicurata quando si assoggetta la fruizione di beni e servizi alla preventiva autorizzazione a trattare i dati conferiti anche per finalità diverse, quali sono quelle di profilazione e promozionale;

Quindi, in poche parole, non si può negare un servizio a chi non vuole fornire i propri dati personali per scopi diversi da quelli strettamente inerenti la prestazione del servizio stesso. Ogni altro trattamento per differenti finalità deve essere, invece, preceduto da un consenso libero e specifico (cioè riferito alla singola finalità).

Nel caso in cui il consenso venga acquisito attraverso Internet, occorre anche che le relative pagine web facciano uso di elementi in grado di consentire agli interessati la libera manifestazione, positiva o negativa, della propria volontà (es. mediante caselle di spunta differenti per ogni finalità, non preselezionate).

Data retention: ulteriore proroga per l'applicazione delle misure di sicurezza

Il garante della privacy ha accordato un parziale slittamento dei termini per l'adozione degli accorgimenti e delle misure di sicurezza a garanzia dei dati del traffico telefonico e telematico, conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie.

La scadenza, già prorogata una volta rispetto a quella inizialmente prevista, era stata fissata al 30 aprile 2009 (30 giugno per le sole misure concernenti la strong authentication).

La proroga è stata concessa, su richiesta delle associazioni di categoria, tenuto conto della situazione di sostanziale, ma non ancora integrale, adempimento, delle maggiori difficoltà tecniche nell'adozione di alcune misure e della quantità degli interventi strutturali ed economici complessivamente richiesti per garantire una completa conformità alle prescrizioni.

Dunque, per effetto di questo intervento, è stato prorogato al 15 dicembre 2009 il termine per l'adeguamento alle misure del provvedimento del 24 luglio 2008, di cui alla:

lettera a):

n. 3: adottare, per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione di reati, sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage). I dati di traffico conservati per un periodo non superiore ai sei mesi dalla loro generazione possono, invece, essere trattati per le finalità di giustizia sia prevedendone il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti, sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità. Le attrezzature informatiche utilizzate per i trattamenti di dati di traffico per le esclusive finalità di giustizia di cui sopra devono essere collocate all'interno di aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimati ad accedervi per l'espletamento di specifiche mansioni) e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali. Nel caso di trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, il controllo degli accessi deve comprendere una procedura di riconoscimento biometrico. Infine, il fornitore deve adottare misure idonee a garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni;

n. 6: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 9: proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. Il fornitore deve adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche. Tale misura deve essere efficace per ridurre al minimo il rischio che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, database administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere, oppure che possano intenzionalmente o fortuitamente alterare le informazioni registrate. Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione;

lettera c):

n. 1: adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno due differenti tecnologie di autenticazione, che si applichino agli accessi ai sistemi di elaborazione da parte di tutti gli incaricati di trattamento nonché di tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che abbiano la possibilità concreta di accedere ai dati di traffico custoditi nelle banche dati del fornitore, qualunque sia la modalità, locale o remota, con cui si realizzi l'accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l'incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti. Qualora circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti, guasti, installazione hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessità di accesso a sistemi di elaborazione che trattano dati di traffico da parte di addetti tecnici in assenza di strong authentication, fermo restando l'obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall'Allegato B) al Codice in materia di protezione dei dati personali, deve essere tenuta traccia in un apposito "registro degli accessi" dell'eventuale accesso fisico ai locali in cui sono installati i sistemi di elaborazione oggetto di intervento e dell'accesso logico ai sistemi, nonché delle motivazioni che li hanno determinati, con una descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore;


n. 2: adottare procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati;


n. 3: rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti, provvedendo alla loro cancellazione o trasformazione in forma anonima, in tempi tecnicamente compatibili con l'esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, documentando tale operazione entro i trenta giorni successivi alla scadenza dei termini di conservazione (art. 123 del Codice);


n. 4: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 5: documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione. La descrizione deve comprendere, per ciascun sistema applicativo, l'architettura logico-funzionale, l'architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l'architettura della rete di comunicazione, l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema. La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati. La documentazione tecnica deve essere aggiornata e messa a disposizione dell'Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico;

Accesso ai dati personali e rapporto di lavoro

Non c'è dubbio che, nell'ambito del rapporto con il proprio datore di lavoro, i lavoratori dipendenti figurano come soggetti interessati dal trattamento dei dati personali e possono, quindi, esercitare i diritti previsti dagli art. 7 e ss del testo unico sulla privacy.

Una questione che si pone, semmai, è quella di delimitare i dati che possono essere oggetto di accesso, vista la grande quantità ed eterogeneità delle informazioni inerenti la gestione del rapporto lavorativo.

Di recente l'autorità garante, nel decidere un ricorso, ha chiarito che le informazioni relative alla ordinaria gestione del rapporto di lavoro (nel caso specifico si trattava di dati sui turni di servizio degli ultimi anni) costituiscono dati personali i quali possono essere oggetto di una legittima richiesta di accesso da parte del lavoratore.


Le regole generali

Al di là del singolo caso specifico, può essere comunque utile ricordare che il provvedimento contenente "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" fissa alcuni principi generali in materia, stabilendo che:


  • le richieste di accesso possono anche essere prive di riferimenti ad un trattamento o a dati particolari ed, in questo caso, riguardano implicitamente tutti i dati trattati, comprese le informazioni di tipo valutativo, ma con l'esclusione delle notizie di carattere contrattuale o professionale
  • il datore di lavoro deve fornire al richiedente un riscontro completo che consiste in una comunicazione, chiara e comprensibile, di tutte le informazioni in suo possesso, mentre non è ammessa la sola elencazione delle tipologie di dati gestiti
  • il riscontro deve essere normalmente fornito entro il termine di 15 giorni dalla richiesta
  • nel caso in cui le operazioni necessarie al riscontro siano di particolare complessità, oppure ricorra un altro giustificato motivo, il datore di lavoro può rispettare il termine più lungo di 30 giorni, dandone preventiva comunicazione all'interessato
  • nelle realtà organizzative, articolate e complesse, in cui può essere più difficoltoso l'esercizio dei diritti da parte degli interessati, il datore di lavoro deve provvedere a nominare un responsabile, appositamente designato per la trattazione di tali questioni, fornendone indicazione nella relativa informativa resa ai sensi dell'art. 13
  • i dati estratti possono essere comunicati oralmente o visualizzati attraverso strumenti elettronici, a meno che non ci sia una specifica richiesta di trasposizione su supporto cartaceo o informatico o di trasmissione per via telematica (es. posta elettronica)
  • l'esercizio del diritto di accesso può essere soddisfatto mettendo a disposizione dell'interessato il proprio fascicolo personale, da cui estrarre i dati, soprattutto quando la quantità di questi ultimi è elevata
  • analogamente, quando l'estrazione dei dati risulta particolarmente difficoltosa, il titolare può decidere di esibire o consegnare copia di atti o documenti, contenenti i dati richiesti, eliminando o oscurando gli eventuali dati personali di terzi
  • il diritto di accesso non implica, comunque, la facoltà di richiedere al titolare la ricerca e la raccolta di dati che non siano in suo possesso ed oggetto di trattamento, l'accesso diretto ed illimitato a documenti ed intere tipologie di atti, l'aggregazione di documenti secondo modalità specificate dall'interessato, la creazione di documenti inesistenti ed, infine, il rispetto di particolari modalità di riscontro diverse da quelle già previste dal codice

Insomma, a ben vedere, si tratta di misure per garantire un accesso trasparente ai propri dati, da parte dei lavoratori, senza per questo appensantire l'ordinaria gestione aziendale.

Nuove prescrizioni sulla privacy nel marketing telefonico

Dopo la conversione in legge del decreto milleproroghe, avvenuta con la legge 27 febbraio 2009, n. 14, che ha previsto una deroga temporanea sull'applicazione di alcuni istituti della normativa sulla privacy nelle attività promozionali, l'autorità garante della privacy è intervenuta con un nuovo provvedimento per precisare i criteri che, comunque, dovranno essere rispettati nell'esecuzione delle attività.

Le prescrizioni interessano tutti i titolari del trattamento che siano in possesso di banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 e che intendano utilizzarle per fini promozionali.

Le misure previste sono le seguenti:

  • documentare in modo adeguato la costituzione della banca dati prima del 1° agosto 2005, conservando la relativa documentazione presso la sede legale del titolare;
  • trattare direttamente i dati personali presenti nelle banche dati, senza cederli, a qualunque titolo, a terzi;
  • specificare, in occasione di ogni contatto, l'identificativo del titolare del trattamento dei dati, anche nel caso in cui questi operi per conto di terzi, e comunicare agli interessati che essi hanno il diritto di opporsi ai sensi dell'art. 7 del Codice;
  • registrare immediatamente l'eventuale opposizione dell'interessato al trattamento dei suoi dati personali, con effetto anche nei confronti dei terzi per conto dei quali questo operi, anche qualora ciò avvenga telefonicamente, e fornire all'interessato l'identificativo dell'operatore o dell'operazione compiuta;
  • utilizzare i dati personali presenti nelle banche dati esclusivamente per finalità promozionali e sino al 31 dicembre 2009. Non è possibile rendere un'informativa agli interessati e richiedere il loro consenso per l'uso dei dati per attività di carattere promozionale da effettuare in data successiva al 31 dicembre 2009;
  • comunicare al Garante, entro quindici giorni dalla pubblicazione del provvedimento in G.U. (prevista per il 20 marzo 2009), di essere in possesso di banche dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento dei dati personali venga effettuato anche per conto di terzi;