Giovedì 02 luglio 2009

Roma - Ebbene sì: tutti ci confidavano. La scadenza del 30 giugno per l'adozione delle misure inerenti gli amministratori di sistema, è stata prorogata. Data slittata al 15 dicembre 2009. Possiamo tirare un sospiro di sollievo?

Non tanto. Il provvedimento di proroga non ha impattato molto sul testo originale. A parte qualche aggiunta qua e là in merito alle competenze del responsabile (responsabile privacy o della sicurezza? Responsabile del trattamento...) l'Autorità non ha modificato gli adempimenti basilari. La proroga più che altro si presume essere il risultato dello spoglio del materiale pervenuto presso l'Ufficio del Garante a seguito della consultazione pubblica.

Vicenda anomala, quest'ultima. Il 28 novembre 2008 l'Autorità Garante in materia di trattamento dati personali emanava il provvedimento sull'amministratore di sistema. Solo diversi mesi dopo (a maggio) lanciava dal sito istituzionale una pubblica consultazione con la quale chiedeva espressamente di ricevere "osservazioni" sul provvedimento in oggetto. E le osservazioni non devono essere mancate! Vicenda anomala, dicevo. In genere sarebbe stato auspicabile che la consultazione pubblica venisse anticipata prima dell'emanazione del provvedimento. Oppure che avesse ad oggetto una bozza di provvedimento, se proprio vogliamo utilizzare lo strumento della pubblica consultazione. Fatto sta che l'Autorità deve aver trovato particolarmente allarmanti le osservazioni pervenute.
Nel provvedimento di proroga datato 25 giugno nelle premesse si legge espressamente che il Garante (ai fini dell'emissione del provvedimento di proroga) ha tenuto conto dei numerosi contributi pervenuti, sia da singoli titolari del trattamento sia da associazioni rappresentative di categoria, che evidenziano taluni problemi applicativi relativi alla completa attuazione di alcune delle misure e degli accorgimenti prescritti nel Provvedimento; inoltre ha considerato che, oltre ai predetti contributi, sono pervenute anche richieste di differimento dei termini indicati nel provvedimento del 12 febbraio 2009; ha rilevato pertanto l'opportunità di integrare e parzialmente modificare il Provvedimento recependo alcune delle indicazioni emerse nel corso della consultazione pubblica per facilitare il corretto adempimento alle prescrizioni impartite, senza compromettere il livello di tutela assicurato agli interessati. Insomma, la mezza sommossa popolare avvenuta trasversalmente in tutti i settori dove vi sono "fruitori di amministratori di sistema" ha dato qualche risultato.

Risultati per taluni ancora non soddisfacenti. Restano fermi i punti più critici: l'obbligo di conservare minimo sei mesi i log di accesso degli ADS, nonché la descrizione dell'evento che ha generato l'accesso, che dovranno essere conservati in modo completo, integro e inalterabile. Il problema nel provvedimento è da sempre annidato in questo punto. Intanto perché tecnicamente complesso procedere a quanto sopra. Secondariamente perché conservare solo l'evento che genera l'accesso dell'ADS non vuole dire certo profilare le attività del medesimo, rendendo così parzialmente vano la volontà di monitoraggio dell'ADS espressa nelle premesse del provvedimento. Forse che la proroga rappresenti un primo passo per "valutare" una riformulazione di alcuni passaggi, senza essere costretti a combinare il testo del provvedimento con le FAQ pubblicate sul sito del Garante (che nella "gerarchia delle fonti" lasciano un po' di perplessità)?

Nel frattempo molte realtà aziendali e pubbliche si sono organizzate: tutto sommato taluni hanno scoperto di avere davvero vulnerabilità sul fronte ADS, in particolare sugli ADS esterni, spesso non detenendo una vera e propria mappatura dei medesimi. Altri hanno verificato la commistione esistente sui ruoli degli ADS interni, procedendo ad una riformulazione anche degli organigrammi. Insomma, benché un po' forzate, alcune conseguenze in materia di "sicurezza" non sono mancate... e non siamo ancora al 15 dicembre!

Avv. Valentina Frediani

FONTE: punto informatico

www.punto-informatico.it