Breve commento alle recenti modifiche al Codice sulla Privacy del d.l. 207/2008

Posted: under privacy.
Tags: , , , , ,

Inasprimento del sanzioni amministrative e illeciti penali del Codice della Privacy

 

Con il recente decreto milleproroghe, d.l. n. 207/2008, pubblicato sulla G.U. n. 304 del 31/12/2008, “Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti”, vengono inasprite diverse sanzioni amministrative e penali in materia di privacy. Sebbene il decreto si proponga principalmente di rendere più efficaci le sanzioni nei confronti delle grandi aziende che gestiscono banche dati importanti (rectius infrastrutture critiche) allo scopo di limitare trattamenti illeciti dei dati con specifico riferimento ad accessi non autorizzati e raccolta di dossier illeciti, le sanzioni vengono inasprite anche per le piccole e medie aziende. A questo riguardo piuttosto rilevanti appiano le modifiche che riguardano gli artt. 169 e 162 del Codice della Privacy, viene infatti eliminato il riferimento all’ammenda da 10.000 a 50.000 €, tuttavia la sanzione penale contenuta nell’art. 169 va messa in relazione il comma 2 bis dell’articolo 162 del Codice il quale aumenta la sanzione amministrativa a 120.000 €. Per essere più chiari in caso di mancata adozione delle misure minime di sicurezza, si rischia oltre l’arresto fino a due anni (prima previsto come pena alternativa all’ammenda), anche il pagamento di un’ammenda aumentata e necessaria per la regolarizzazione ed estinzione del reato di omessa adozione delle misure minime di sicurezza. In tal caso, si dovrà pertanto adottare quanto prescritto dall’autorità e pagare un’ammenda pari ad “un quarto del massimo della sanzione stabilita per la violazione amministrativa” contestata ossia almeno 30.000 € (l’articolo 162 comma 2 bis prevede la sanzione amministrativa massima di centoventimila euro in caso di omessa adozione di misure minime di sicurezza), salvo siano state contestate altre violazioni amministrative concorrenti le quali potrebbero essere comunque cumulate. Pertanto, per chi non adottasse le misure minime di sicurezza ex art 33 prescritte dal Codice della Privacy con il nuovo quadro normativo si troverebbe quanto meno contestatato il reato di arresto di due anni, salvo poi regolarizzarsi pagando una pena di almeno 30.000€ anziché la somma di 12.500 € prevista precedentemente. Si ritiene tuttavia che per il medesimo fatto oltre alla sanzione penale poc’anzia descritta potrà essere contestata anche la sanzione amministrativa, sotto quest’ultimo profilo l’art. 162 comma 2 bis stabilisce che con riferimento all’art. 33 è escluso il pagamento in misura ridotta, questo significa solo che l’organo accertatore non potrà applicare né il doppio del minimo della pena minima editale né la terza parte del massimo così come previsto dal primo comma dell’art. 16 della legge n.689/81 “E’ ammesso il pagamento di una somma in misura ridotta pari alla terza parte del massimo della sanzione prevista per la violazione commessa o, se più favorevole, al doppio del minimo della sanzione edittale, oltre alle spese del procedimento, entro il termine di sessanta giorni dalla contestazione immediata o, se questa non vi è stata, dalla notificazione degli estremi della violazione.”. La misura ridotta serve perciò a fornire una criterio vincolante nell’applicazione della sanzione amministrativa in alcuni casi limitando l’ammontare la sanzione irrogata, ma più in genere si tratta di un meccanismo deflattivo dei procedimenti contenziosi con il quale si sottrae all’ente che commina la sanzione una valutazione sulla gravità della pena, l’esclusione della misura ridotta non impedisce ovviamente di beneficare di altre riduzioni di pena. Pertanto, con riferimento specifico all’art. 164 bis (nei casi di minore gravità e con riguardo alla natura economica o sociale svolta) il quale si applica alle sanzioni amministrative anche per l’omissione di misure minime di sicurezza, si potrà a livello di sanzione amministrativa beneficare della riduzione a due quinti della sanzione prevista.

 

 

 

Si riporta una versione del Titolo III del Codice della Privacy aggiornata con le recenti modifiche introdotte fino al 31 dicembre 2008

 

Titolo III - Sanzioni

Capo I - Violazioni amministrative

Art. 161. Omessa o inidonea informativa all’interessato

1. La violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da [tremila euro a diciottomila euro] da seimila euro a trentaseimila euro (1) o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell’articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

Art. 162. Altre fattispecie

1. La cessione dei dati in violazione di quanto previsto dall’articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma [da cinquemila euro a trentamila euro] da diecimila euro a sessantamila euro (1).

2. La violazione della disposizione di cui all’articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma [da cinquecento euro a tremila euro] da mille euro a seimila euro (1).

2-bis. (2)  In  caso  di  trattamento  di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all’articolo 33 è escluso il pagamento in misura ridotta.

2-ter. (2) In caso di inosservanza dei provvedimenti di prescrizione di misure  necessarie o di divieto di cui, rispettivamente, all’articolo 154,  comma  1,  lettere  c)  e  d),  è  altresì  applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008
(2) Comma così aggiunto dal decreto legge n. 207 del 30 dicembre 2008

Art. 162-bis. Sanzioni in materia di conservazione dei dati di traffico (1)

 

1. Salvo che il fatto costituisca reato e salvo quanto previsto dall’articolo 5, comma 2, del decreto legislativo di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di violazione delle disposizioni di cui all’art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro. [, che può essere aumentata sino al triplo in ragione delle condizioni economiche dei responsabili della violazione.] (2)

(1) Articolo aggiunto dall’art. 5, comma 1, del d.lg. 30 maggio 2008, n. 109, di attuazione della direttiva 2006/24/Ce riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce.
Per completezza, si riporta il comma 2 del predetto articolo 5, richiamato dall’articolo 162-bis del Codice:

“2. Salvo che il fatto costituisca reato, l’omessa o l’incompleta conservazione dei dati ai sensi dell’articolo 132, commi 1 e 1-bis, del Codice, è punita con la sanzione amministrativa pecuniaria da euro 10.000 ad euro 50.000 che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Nel caso di assegnazione di indirizzo IP che non consente l’identificazione univoca dell’utente o abbonato si applica la sanzione amministrativa pecuniaria da 5.000 euro a 50.000 euro, che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Le violazioni sono contestate e le sanzioni sono applicate dal Ministero dello sviluppo economico.”.

(2) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

Art. 163. Omessa o incompleta notificazione (1)

1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma [da diecimila euro a sessantamila euro] da ventimila euro a centoventimila euro [e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica].

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

Art. 164. Omessa informazione o esibizione al Garante

1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma [da quattromila euro a ventiquattro mila euro] da  diecimila  euro  a sessantamila euro. (1)

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

 

Art.  164-bis. Casi di minore gravità e ipotesi aggravate (1)

1. Se taluna delle  violazioni di cui agli articoli 161, 162, 163 e 164 è di  minore  gravità,  avuto  altresì riguardo alla natura anche economica  o sociale dell’attività svolta, i limiti minimi e massimi stabiliti  dai  medesimi articoli sono applicati in misura pari a due quinti.

2. In caso di più violazioni di un’unica o di più disposizioni di cui  al  presente Capo, a eccezione di quelle previste dagli articoli 162,  comma  2,  162-bis  e  164,  commesse anche in tempi diversi in relazione  a banche di dati di particolare rilevanza o dimensioni, si applica  la  sanzione  amministrativa  del  pagamento di una somma da cinquantamila  euro  a trecentomila euro. Non è ammesso il pagamento in misura ridotta.

3.  In  altri  casi  di  maggiore  gravità  e,  in particolare, di maggiore rilevanza del pregiudizio per uno o piu’ interessati, ovvero quando  la violazione coinvolge numerosi interessati, i limiti minimo e  massimo  delle  sanzioni di cui al presente Capo sono applicati in misura pari al doppio.

4.  Le  sanzioni  di  cui al presente Capo possono essere aumentate fino  al  quadruplo  quando  possono  risultare inefficaci in ragione delle condizioni economiche del contravventore.

(1) Articolo così aggiunto dal decreto legge n. 207 del 30 dicembre 2008

Art. 165. Pubblicazione del provvedimento del Garante

1. Nei casi di cui agli articoli [161, 162 e 164] del  presente  Capo(1) può essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. La   pubblicazione   ha   luogo   a   cura  e  spese  del contravventore. (1)

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

 

Art. 166. Procedimento di applicazione

1. L’organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all’articolo 179, comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’articolo 156, comma 10, e sono utilizzati unicamente per l’esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158.



 

 

Capo II - Illeciti penali

Art. 167. Trattamento illecito di dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

 

Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante

1. Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

 

Art. 169. Misure di sicurezza

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni [o con l'ammenda da diecimila euro a cinquantamila euro].

2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al [quarto del massimo dell'ammenda stabilita per la contravvenzione] quarto  del  massimo  della  sanzione  stabilita  per  la violazione amministrativa. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

 

Comments (0) Gen 13 2009

Il Garante prescrive le misure per gli amminsitratori di sistema

Posted: under diritto delle nuove tecnologie, privacy.
Tags: , , , , ,

Chiarimenti del Garante sul ruolo degli amministratori di sistema in azienda

Con un recente provvedimento pubblicato in gazzetta lo scorso 24 dicembre 2008 il Garante per la tutela dei dati personali ha fornito chiarimenti precisi sul ruolo degli amministratori di sistema intesi in senso ampio, inclusi coloro che svolgono mansioni analoghe nei sistemi di elaborazione dati e banche dati, perciò anche application administrator, database amministrator e network administrator, ed anche semplici incaricati alle copie di sicurezza e il custode delle credenziali di autenticazione. Si prescrive inoltre l’obbligo di adottare una serie misure logiche ed organizzative ai titolari dei trattamenti che utilizzano strumenti elettronici esclusi i trattamenti effettuati per finalità amministrative-contabili. Per l’attuazione di tali misure è previsto un periodo di transizione, i trattamenti già iniziati o comunque attivati entro trenta giorni dalla pubblicazione del provvedimento dovranno conformarsi entro il 23aprile 2009 (120 gg dalla pubblicazione), per quelli iniziati dopo i trenta giorni è previsto che siano già conformi sin dall’inizio. Il provvedimento si inserisce nella linea di intervento sia governativa (si veda il recente decreto legge n. 207/2008 sull’inasprimento delle sanzioni amministrative e penali del Codice della Privacy) che del Garante volta a combattere più efficacemente gli accessi non autorizzati ai dati personali e il dossieraggio illecito in azienda. In particolare, “nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare dovrà conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema”. Tale misure richiederà perciò la compilazione di una lista aggiornata e completa degli incaricati (persone fisiche) di società fornitrici di servizi di informatici. Si prevede espressamente l’obbligo di inserire nel DPS un elenco degli amministratori di sistema con indicazione delle relative funzioni. Si prescrive anche l’obbligo relativo al rapporto di lavoro tra datore e dipendenti/collaboratori, il quale consiste nel rendere noto a tutti l’identità degli amministratori di sistema nell’ambito dell’organizzazione, a tale scopo si potrà ricorrere a diversi strumenti, informativa ex art. 13 del Codice della Privacy, disciplinare interno oppure utilizzare la intranet aziendale. Devono inoltre essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilita’ e possibilita’ di verifica della loro integrita’ adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

PROVV. Garante, 27 novembre 2008.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.

(GU n. 300 del 24-12-2008 )

IL GARANTE PER LA PROTEZIONE
                               DEI DATI PERSONALI
  Nella  riunione  odierna, in presenza del prof. Francesco Pizzetti,
presidente,  del  dott.  Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
  Visto  il Codice in materia di protezione dei dati personali (d.lg.
30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154,
comma  1, lettera c) e h), nonche' il disciplinare tecnico in materia
di  misure  minime  di  sicurezza  di  cui all'allegato B al medesimo
Codice;
  Visti gli atti d'ufficio relativi alla protezione dei dati trattati
con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;
  Rilevata   l'esigenza  di  intraprendere  una  specifica  attivita'
rispetto   ai  soggetti  preposti  ad  attivita'  riconducibili  alle
mansioni  tipiche  dei  c.d.  «amministratori di sistema», nonche' di
coloro  che  svolgono  mansioni  analoghe  in  rapporto  a sistemi di
elaborazione  e  banche di dati, evidenziandone la rilevanza rispetto
ai  trattamenti  di  dati  personali  anche  allo scopo di promuovere
presso  i  relativi  titolari  e nel pubblico la consapevolezza della
delicatezza    di    tali    peculiari   mansioni   nella   «Societa'
dell'informazione» e dei rischi a esse associati;
  Considerata  l'esigenza  di consentire piu' agevolmente, nei dovuti
casi,  la  conoscibilita'  dell'esistenza  di  tali figure o di ruoli
analoghi   svolti   in   relazione  a  talune  fasi  del  trattamento
all'interno di enti e organizzazioni;
  Ritenuta  la  necessita'  di  promuovere  l'adozione  di specifiche
cautele  nello svolgimento delle mansioni svolte dagli amministratori
di   sistema,   unitamente  ad  accorgimenti  e  misure,  tecniche  e
organizzative, volti ad agevolare l'esercizio dei doveri di controllo
da parte del titolare (due diligence);
  Constatato  che  lo svolgimento delle mansioni di un amministratore
di  sistema,  anche  a  seguito di una sua formale designazione quale
responsabile  o  incaricato  del  trattamento,  comporta di regola la
concreta   capacita',  per  atto  intenzionale,  ma  anche  per  caso
fortuito,  di  accedere  in  modo  privilegiato a risorse del sistema
informativo  e a dati personali cui non si e' legittimati ad accedere
rispetto ai profili di autorizzazione attribuiti;
  Rilevata  la  necessita' di richiamare l'attenzione su tale rischio
del    pubblico,    nonche'    di   persone   giuridiche,   pubbliche
amministrazioni   e   di   altri   enti  [di  seguito  sinteticamente
individuati  con  l'espressione  «titolari  del trattamento»: art. 4,
comma  1,  lettera  f) del Codice] che impiegano, in riferimento alla
gestione  di banche dati o reti informatiche, sistemi di elaborazione
utilizzati  da  una molteplicita' di incaricati con diverse funzioni,
applicative o sistemistiche;
  Rilevato  che  i  titolari  sono  tenuti, ai sensi dell'art. 31 del
Codice,  ad  adottare  misure  di  sicurezza «idonee e preventive» in
relazione  ai  trattamenti  svolti,  dalla  cui  mancata o non idonea
predisposizione  possono  derivare  responsabilita'  anche  di ordine
penale e civile (articoli 15 e 169 del Codice);
  Constatato  che  l'individuazione dei soggetti idonei a svolgere le
mansioni   di   amministratore   di   sistema  riveste  una  notevole
importanza, costituendo una delle scelte fondamentali che, unitamente
a  quelle  relative alle tecnologie, contribuiscono a incrementare la
complessiva  sicurezza dei trattamenti svolti, e va percio' curata in
modo particolare evitando incauti affidamenti;
  Considerato   inoltre  che,  qualora  ritenga  facoltativamente  di
designare  uno  o  piu'  responsabili del trattamento, il titolare e'
tenuto  a individuare solo soggetti che «per esperienza, capacita' ed
affidabilita'  forniscano  idonea  garanzia  del pieno rispetto delle
vigenti  disposizioni  in  materia  di  trattamento,  ivi compreso il
profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);
  Ritenuto  che i titolari di alcuni trattamenti effettuati in ambito
pubblico  e  privato a fini amministrativo-contabili, i quali pongono
minori  rischi  per  gli interessati e sono stati pertanto oggetto di
recenti  misure  di  semplificazione (art. 29 decreto-legge 25 giugno
2008,  n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.
133;  art.  34  del  Codice; provv. Garante 6 novembre 2008), debbano
essere  allo  stato  esclusi  dall'ambito  applicativo  del  presente
provvedimento;
  Viste   le   osservazioni  dell'Ufficio  formulate  dal  segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore il prof. Francesco Pizzetti;
                              Premesso:
1. Considerazioni preliminari.
  Con  la  definizione  di «amministratore di sistema» si individuano
generalmente, in ambito informatico, figure professionali finalizzate
alla gestione e alla manutenzione di un impianto di elaborazione o di
sue  componenti.  Ai  fini  del  presente provvedimento vengono pero'
considerate  tali  anche altre figure equiparabili dal punto di vista
dei   rischi   relativi   alla   protezione   dei   dati,  quali  gli
amministratori  di  basi  di  dati,  gli  amministratori di reti e di
apparati  di  sicurezza  e  gli  amministratori  di  sistemi software
complessi.
  Gli amministratori di sistema cosi' ampiamente individuati, pur non
essendo  preposti  ordinariamente  a  operazioni  che  implicano  una
comprensione  del  dominio applicativo (significato dei dati, formato
delle  rappresentazioni  e  semantica  delle  funzioni),  nelle  loro
consuete  attivita' sono, in molti casi, concretamente «responsabili»
di   specifiche   fasi  lavorative  che  possono  comportare  elevate
criticita' rispetto alla protezione dei dati.
  Attivita' tecniche quali il salvataggio dei dati (backup/recovery),
l'organizzazione  dei  flussi  di  rete,  la gestione dei supporti di
memorizzazione  e  la  manutenzione  hardware  comportano infatti, in
molti  casi,  un'effettiva capacita' di azione su informazioni che va
considerata  a  tutti  gli  effetti alla stregua di un trattamento di
dati  personali; cio', anche quando l'amministratore non consulti «in
chiaro» le informazioni medesime.
  La rilevanza, la specificita' e la particolare criticita' del ruolo
dell'amministratore  di  sistema  sono  state  considerate  anche dal
legislatore  il  quale  ha  individuato,  con  diversa denominazione,
particolari  funzioni  tecniche  che,  se  svolte  da chi commette un
determinato  reato,  integrano ad esempio una circostanza aggravante.
Ci   si  riferisce,  in  particolare,  all'abuso  della  qualita'  di
operatore di sistema prevista dal codice penale per le fattispecie di
accesso  abusivo  a sistema informatico o telematico (art. 615-ter) e
di  frode  informatica  (art. 640-ter), nonche' per le fattispecie di
danneggiamento   di   informazioni,   dati  e  programmi  informatici
(articoli 635-bis e ter) e di danneggiamento di sistemi informatici e
telematici (articoli 635-quater e quinques) di recente modifica (vedi
nota 1)
  .
  La  disciplina di protezione dei dati previgente al Codice del 2003
definiva  l'amministratore di sistema, individuandolo quale «soggetto
al  quale  e'  conferito il compito di sovrintendere alle risorse del
sistema  operativo  di un elaboratore o di un sistema di banca dati e
di  consentirne l'utilizzazione» [art. 1, comma 1, lettera c) decreto
del Presidente della Repubblica n. 318/1999].
  Il  Codice  non  ha  invece  incluso  questa  figura tra le proprie
definizioni     normative.     Tuttavia     le    funzioni    tipiche
dell'amministrazione  di  un  sistema  sono richiamate nel menzionato
allegato  B,  nella  parte in cui prevede l'obbligo per i titolari di
assicurare  la  custodia delle componenti riservate delle credenziali
di  autenticazione.  Gran  parte  dei  compiti  previsti nel medesimo
allegato  B spettano tipicamente all'amministratore di sistema: dalla
realizzazione  di copie di sicurezza (operazioni di backup e recovery
dei  dati)  alla custodia delle credenziali alla gestione dei sistemi
di autenticazione e di autorizzazione.
  Nel  loro  complesso,  le  norme  predette  mettono  in  rilievo la
particolare  capacita'  di  azione  propria  degli  amministratori di
sistema  e  la  natura  fiduciaria delle relative mansioni, analoga a
quella  che,  in  un  contesto  del  tutto  differente,  caratterizza
determinati  incarichi  di  custodia  e  altre  attivita'  per il cui
svolgimento   e'   previsto  il  possesso  di  particolari  requisiti
tecnico-organizzativi,  di  onorabilita',  professionali, morali o di
condotta,  a oggi non contemplati per lo svolgimento di uno dei ruoli
piu' delicati della «Societa' dell'informazione» (vedi nota 2).
  Nel  corso delle attivita' ispettive disposte negli ultimi anni dal
Garante  e'  stato  possibile  rilevare quale importanza annettano ai
ruoli  di system administrator (e di network administrator o database
administrator)  la  gran  parte di aziende e di grandi organizzazioni
pubbliche   e  private,  al  di  la'  delle  definizioni  giuridiche,
individuando  tali  figure  nell'ambito  di  piani  di sicurezza o di
documenti programmatici e designandoli a volte quali responsabili.
  In   altri   casi,   non  soltanto  in  organizzazioni  di  piccole
dimensioni,  si  e'  invece  riscontrata,  anche a elevati livelli di
responsabilita',  una  carente consapevolezza delle criticita' insite
nello   svolgimento   delle   predette   mansioni,  con  preoccupante
sottovalutazione  dei  rischi  derivanti dall'azione incontrollata di
chi dovrebbe essere preposto anche a compiti di vigilanza e controllo
del corretto utilizzo di un sistema informatico.
  Con   il   presente   provvedimento  il  Garante  intende  pertanto
richiamare  tutti  i  titolari  di  trattamenti  effettuati, anche in
parte,  mediante  strumenti  elettronici  alla necessita' di prestare
massima   attenzione   ai   rischi   e   alle   criticita'  implicite
nell'affidamento degli incarichi di amministratore di sistema.
  L'Autorita'  ravvisa  inoltre  l'esigenza  di individuare in questa
sede  alcune  prime misure di carattere organizzativo che favoriscano
una  piu'  agevole  conoscenza, nell'ambito di organizzazioni ed enti
pubblici  e  privati,  dell'esistenza  di  determinati ruoli tecnici,
delle  responsabilita'  connesse  a  tali mansioni e, in taluni casi,
dell'identita'  dei  soggetti  che  operano  quali  amministratori di
sistema in relazione ai diversi servizi e banche di dati.
2. Quadro di riferimento normativo.
  Nell'ambito  del  Codice  il presente provvedimento si richiama, in
particolare,  all'art.  154,  comma  1,  lettera h), rientrando tra i
compiti  dell'Autorita'  quello  di  promuovere la «conoscenza tra il
pubblico  della  disciplina  rilevante  in materia di trattamento dei
dati  personali  e  delle relative finalita', nonche' delle misure di
sicurezza dei dati».
  La  lettera c) del medesimo comma 1 prevede poi la possibilita', da
parte  del Garante, di prescrivere misure e accorgimenti, specifici o
di  carattere  generale, che i titolari di trattamento sono tenuti ad
adottare.
3.  Segnalazione ai titolari di trattamenti relativa alle funzioni di
amministratore di sistema.
  Ai  sensi  del menzionato art. 154, comma 1, lettera h) il Garante,
nel  segnalare  a  tutti  i titolari di trattamenti di dati personali
soggetti   all'ambito   applicativo  del  Codice  ed  effettuati  con
strumenti  elettronici  la  particolare  criticita'  del  ruolo degli
amministratori   di   sistema,  richiama  l'attenzione  dei  medesimi
titolari   sulla  necessita'  di  adottare  idonee  cautele  volte  a
prevenire  e  ad  accertare  eventuali accessi non consentiti ai dati
personali,  in  specie  quelli realizzati con abuso della qualita' di
amministratore    di    sistema;    richiama   inoltre   l'attenzione
sull'esigenza  di  valutare  con  particolare  cura l'attribuzione di
funzioni tecniche propriamente corrispondenti o assimilabili a quelle
di  amministratore  di sistema, laddove queste siano esercitate in un
contesto  che  renda  ad essi tecnicamente possibile l'accesso, anche
fortuito,   a   dati   personali.  Cio',  tenendo  in  considerazione
l'opportunita'  o  meno  di tale attribuzione e le concrete modalita'
sulla base delle quali si svolge l'incarico, unitamente alle qualita'
tecniche,  professionali  e  di condotta del soggetto individuato, da
vagliare  anche  in  considerazione  delle responsabilita', specie di
ordine  penale  e  civile (articoli 15 e 169 del Codice), che possono
derivare in caso di incauta o inidonea designazione.
4.  Misure  e  accorgimenti  prescritti  ai  titolari dei trattamenti
effettuati con strumenti elettronici.
  Di  seguito  sono indicati gli accorgimenti e le misure che vengono
prescritti  ai sensi dell'art. 154, comma 1, lettera c) del Codice, a
tutti  i  titolari  dei  trattamenti di dati personali effettuati con
strumenti  elettronici,  esclusi,  allo  stato,  quelli effettuati in
ambito  pubblico  e  privato  a  fini  amministrativo-contabili  che,
ponendo  minori  rischi per gli interessati, sono stati oggetto delle
recenti  misure  di  semplificazione (art. 29 decreto-legge 25 giugno
2008,  n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.
133; art. 34 del Codice; provv. Garante 6 novembre 2008).
  I seguenti accorgimenti e misure lasciano impregiudicata l'adozione
di  altre  specifiche  cautele  imposte  da discipline di settore per
particolari  trattamenti  o che verranno eventualmente prescritte dal
Garante ai sensi dell'art. 17 del Codice.
  Per effetto del presente provvedimento:
4.1. Valutazione delle caratteristiche soggettive.
  L'attribuzione  delle  funzioni  di  amministratore di sistema deve
avvenire   previa  valutazione  dell'esperienza,  della  capacita'  e
dell'affidabilita'  del  soggetto  designato,  il  quale deve fornire
idonea  garanzia  del  pieno  rispetto  delle vigenti disposizioni in
materia   di  trattamento  ivi  compreso  il  profilo  relativo  alla
sicurezza.
  Anche  quando le funzioni di amministratore di sistema o assimilate
sono  attribuite solo nel quadro di una designazione quale incaricato
del  trattamento  ai  sensi dell'art. 30 del Codice, il titolare e il
responsabile  devono  attenersi  comunque  a  criteri  di valutazione
equipollenti  a quelli richiesti per la designazione dei responsabili
ai sensi dell'art. 29.
4.2. Designazioni individuali.
  La designazione quale amministratore di sistema deve essere in ogni
caso  individuale  e  recare  l'elencazione analitica degli ambiti di
operativita'   consentiti   in  base  al  profilo  di  autorizzazione
assegnato.
4.3. Elenco degli amministratori di sistema.
  Gli  estremi identificativi delle persone fisiche amministratori di
sistema,  con  l'elenco  delle  funzioni  ad  essi attribuite, devono
essere riportati nel documento programmatico sulla sicurezza, oppure,
nei  casi  in  cui  il  titolare  non e' tenuto a redigerlo, annotati
comunque   in   un   documento  interno  da  mantenere  aggiornato  e
disponibile in caso di accertamenti anche da parte del Garante.
  Qualora  l'attivita' degli amministratori di sistema riguardi anche
indirettamente  servizi  o  sistemi  che trattano o che permettono il
trattamento  di  informazioni di carattere personale di lavoratori, i
titolari  pubblici  e privati nella qualita' di datori di lavoro sono
tenuti  a rendere nota o conoscibile l'identita' degli amministratori
di  sistema  nell'ambito  delle  proprie  organizzazioni,  secondo le
caratteristiche  dell'azienda o del servizio, in relazione ai diversi
servizi  informatici  cui  questi  sono  preposti.  Cio', avvalendosi
dell'informativa  resa  agli  interessati  ai  sensi dell'art. 13 del
Codice  nell'ambito  del  rapporto di lavoro che li lega al titolare,
oppure  tramite  il  disciplinare tecnico la cui adozione e' prevista
dal  provvedimento  del  Garante n. 13 del 1° marzo 2007 (in Gazzetta
Ufficiale  10  marzo  2007,  n.  58); in alternativa si possono anche
utilizzare  strumenti  di  comunicazione  interna  (a  es.,  intranet
aziendale,  ordini  di servizio a circolazione interna o bollettini).
Cio',   salvi   i  casi  in  cui  tale  forma  di  pubblicita'  o  di
conoscibilita'  non sia esclusa in forza di un'eventuale disposizione
di legge che disciplini in modo difforme uno specifico settore.
  Nel  caso  di  servizi  di  amministrazione  di sistema affidati in
outsourcing    il    titolare    deve   conservare   direttamente   e
specificamente,   per   ogni   eventuale   evenienza,   gli   estremi
identificativi delle persone fisiche preposte quali amministratori di
sistema.
4.4. Verifica delle attivita'.
  L'operato  degli amministratori di sistema deve essere oggetto, con
cadenza  almeno  annuale,  di  un'attivita'  di verifica da parte dei
titolari  del  trattamento, in modo da controllare la sua rispondenza
alle  misure  organizzative,  tecniche  e  di  sicurezza  rispetto ai
trattamenti dei dati personali previste dalle norme vigenti.
4.5. Registrazione degli accessi.
  Devono  essere  adottati  sistemi  idonei  alla registrazione degli
accessi   logici   (autenticazione   informatica)   ai   sistemi   di
elaborazione e agli archivi elettronici da parte degli amministratori
di    sistema.   Le   registrazioni   (access   log)   devono   avere
caratteristiche  di  completezza,  inalterabilita'  e possibilita' di
verifica della loro integrita' adeguate al raggiungimento dello scopo
di verifica per cui sono richieste.
  Le  registrazioni  devono  comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate
per un congruo periodo, non inferiore a sei mesi.
5. Tempi di adozione delle misure e degli accorgimenti.
  Per  tutti  i  titolari dei trattamenti gia' iniziati o che avranno
inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta
Ufficiale del presente provvedimento, le misure e gli accorgimenti di
cui  al  punto 4 dovranno essere introdotti al piu' presto e comunque
entro,  e  non  oltre,  il  termine  che  e'  congruo  stabilire,  in
centoventi giorni dalla medesima data.
  Per tutti gli altri trattamenti che avranno inizio dopo il predetto
termine  di  trenta giorni dalla pubblicazione, gli accorgimenti e le
misure   dovranno  essere  introdotti  anteriormente  all'inizio  del
trattamento dei dati.
                   Tutto cio' premesso il Garante:
  1.  Ai  sensi  dell'art.  154,  comma 1, lettera h) del Codice, nel
segnalare  a  tutti  i  titolari  di  trattamenti  di  dati personali
soggetti   all'ambito   applicativo  del  Codice  ed  effettuati  con
strumenti  elettronici  la  particolare  criticita'  del  ruolo degli
amministratori   di   sistema,  richiama  l'attenzione  dei  medesimi
titolari   sull'esigenza   di  valutare  con  particolare  attenzione
l'attribuzione  di  funzioni  tecniche  propriamente corrispondenti o
assimilabili   a   quelle   di   amministratore  di  sistema  (system
administrator),    amministratore   di   base   di   dati   (database
administrator)  o  amministratore  di  rete  (network administrator),
laddove  tali  funzioni  siano esercitate in un contesto che renda ad
essi   tecnicamente  possibile  l'accesso,  anche  fortuito,  a  dati
personali.  Cio',  tenendo in considerazione l'opportunita' o meno di
tale  attribuzione  e le concrete modalita' sulla base delle quali si
svolge l'incarico, unitamente alle qualita' tecniche, professionali e
di condotta del soggetto individuato.
  2. Ai sensi dell'art. 154, comma 1, lettera c) del Codice prescrive
l'adozione  delle seguenti misure ai titolari dei trattamenti di dati
personali  soggetti  all'ambito  applicativo del Codice ed effettuati
con  strumenti elettronici, anche in ambito giudiziario e di forze di
polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in
ambito pubblico e privato a fini amministrativo-contabili che pongono
minori  rischi  per gli interessati e sono stati oggetto delle misure
di   semplificazione  introdotte  di  recente  per  legge  (art.  29,
decreto-legge  25 giugno 2008, n. 112, convertito, con modifiche, con
legge  6  agosto  2008,  n. 133; art. 34 del Codice; provv. Garante 6
novembre 2008):
   a) Valutazione delle caratteristiche soggettive.
   L'attribuzione  delle  funzioni  di amministratore di sistema deve
avvenire  previa  valutazione  delle  caratteristiche  di esperienza,
capacita'  e  affidabilita'  del  soggetto  designato,  il quale deve
fornire idonea garanzia del pieno rispetto delle vigenti disposizioni
in  materia  di  trattamento,  ivi  compreso il profilo relativo alla
sicurezza.
  Anche  quando le funzioni di amministratore di sistema o assimilate
sono  attribuite solo nel quadro di una designazione quale incaricato
del  trattamento  ai  sensi dell'art. 30 del Codice, il titolare e il
responsabile  devono  attenersi  comunque  a  criteri  di valutazione
equipollenti  a quelli richiesti per la designazione dei responsabili
ai sensi dell'art. 29;
   b) Designazioni individuali.
  La   designazione  quale  amministratore  di  sistema  deve  essere
individuale   e   recare  l'elencazione  analitica  degli  ambiti  di
operativita'   consentiti   in  base  al  profilo  di  autorizzazione
assegnato.
   c) Elenco degli amministratori di sistema.
  Gli  estremi identificativi delle persone fisiche amministratori di
sistema,  con  l'elenco  delle  funzioni  ad  essi attribuite, devono
essere  riportati nel documento programmatico sulla sicurezza oppure,
nei  casi  in  cui  il  titolare  non e' tenuto a redigerlo, annotati
comunque   in   un   documento  interno  da  mantenere  aggiornato  e
disponibile in caso di accertamenti da parte del Garante.
  Qualora  l'attivita' degli amministratori di sistema riguardi anche
indirettamente  servizi  o  sistemi  che trattano o che permettono il
trattamento  di informazioni di carattere personale dei lavoratori, i
titolari  pubblici e privati sono tenuti a rendere nota o conoscibile
l'identita' degli amministratori di sistema nell'ambito delle proprie
organizzazioni,   secondo   le  caratteristiche  dell'azienda  o  del
servizio, in relazione ai diversi servizi informatici cui questi sono
preposti. Cio', avvalendosi dell'informativa resa agli interessati ai
sensi  dell'art. 13 del Codice nell'ambito del rapporto di lavoro che
li lega al titolare, oppure tramite il disciplinare tecnico di cui al
provvedimento  del  Garante  n.  13  del  1°  marzo 2007 (in Gazzetta
Ufficiale  10  marzo  2007,  n. 58) o, in alternativa, mediante altri
strumenti  di  comunicazione  interna  (ad  es.,  intranet aziendale,
ordini  di servizio a circolazione interna o bollettini). Cio', salvi
i  casi  in  cui  tali forme di pubblicita' o di conoscibilita' siano
incompatibili    con    diverse   previsioni   dell'ordinamento   che
disciplinino uno specifico settore;
   d) Servizi in outsourcing.
  Nel  caso  di  servizi  di  amministrazione  di sistema affidati in
outsourcing    il    titolare    deve   conservare   direttamente   e
specificamente,   per   ogni   eventuale   evenienza,   gli   estremi
identificativi delle persone fisiche preposte quali amministratori di
sistema;
   e) Verifica delle attivita'.
  L'operato  degli amministratori di sistema deve essere oggetto, con
cadenza  almeno  annuale,  di  un'attivita'  di verifica da parte dei
titolari  del  trattamento, in modo da controllare la sua rispondenza
alle  misure  organizzative,  tecniche  e  di sicurezza riguardanti i
trattamenti dei dati personali previste dalle norme vigenti.
   f) Registrazione degli accessi.
  Devono  essere  adottati  sistemi  idonei  alla registrazione degli
accessi   logici   (autenticazione   informatica)   ai   sistemi   di
elaborazione e agli archivi elettronici da parte degli amministratori
di    sistema.   Le   registrazioni   (access   log)   devono   avere
caratteristiche  di  completezza,  inalterabilita'  e possibilita' di
verifica della loro integrita' adeguate al raggiungimento dello scopo
per  cui  sono  richieste.  Le  registrazioni  devono  comprendere  i
riferimenti temporali e la descrizione dell'evento che le ha generate
e  devono  essere  conservate per un congruo periodo, non inferiore a
sei mesi.
  3.  Dispone  che le misure e gli accorgimenti di cui al punto 2 del
presente  dispositivo  siano introdotti, per tutti i trattamenti gia'
iniziati  o  che  avranno  inizio  entro  trenta giorni dalla data di
pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al
piu'  presto e comunque entro, e non oltre, il termine che e' congruo
stabilire  in  centoventi  giorni  dalla medesima data; per tutti gli
altri  trattamenti  che  avranno  inizio  dopo il predetto termine di
trenta  giorni  dalla  pubblicazione,  gli  accorgimenti  e le misure
dovranno  essere  introdotti anteriormente all'inizio del trattamento
dei dati.
  4.  Dispone  che  copia del presente provvedimento sia trasmesso al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti per
la  sua  pubblicazione  nella  Gazzetta  Ufficiale  della  Repubblica
italiana.
   Roma, 27 novembre 2008
                                   Il presidente e relatore: Pizzetti
Il segretario generale: Buttarelli
(1)  V.,  ad  es.,  l'art. 5 legge 18 marzo 2008, n. 48, che prevede,
oltre a una maggiore pena, la procedibilita' d'uffico nel caso in cui
il  reato  sia  commesso  con  «abuso della qualita' di operatore del
sistema».
(2)  Per  altro  verso  il  legislatore,  nell'intervenire in tema di
«Societa'  dell'informazione»,  ha  previsto  che  i certificatori di
firma  elettronica,  i  quali  sono  preposti al trattamento dei dati
connessi  al  rilascio  del certificato di firma, debbano possedere i
requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni
di  amministrazione,  direzione  e  controllo presso banche, oltre ai
requisiti  tecnici  necessari per lo svolgimento della loro attivita'
(articoli 26, 27 e 29 del decreto legislativo 7 marzo 2005, n. 82).

Comments (0) Gen 09 2009