Amministratori di sistema: l’inutile pratica di richiedere nominativi

Il Provvedimento del 2008 e la richiesta dei nominativi degli AdS

Il 27 novembre 2008, il Garante privacy ha pubblicato il Provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” [doc. web n. 1577499, oggi disponibile con integrate le modifiche del 2009].

Esso richiedeva ai titolari di trattamenti di dati personali, in sintesi, le seguenti attività:

• valutare l’esperienza, capacità e affidabilità degli AdS per assicurarsi che possa fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
• designare individualmente, con elencazione degli ambiti di operatività, gli AdS;
• mantenere un elenco degli AdS con l´elenco delle funzioni ad essi attribuite, anche dei servizi dati in outsourcing;
• mettere a disposizione dei lavoratori, la parte di elenco degli AdS dei servizi o sistemi che trattano le loro informazioni;
• verificare, almeno annualmente, le attività degli AdS relativamente al rispetto delle misure di sicurezza stabilite;
• registrare i login e logout degli AdS ai sistemi informatici e mantenerli, con caratteristiche di completezza e inalterabilità per almeno 6 mesi.

Il Provvedimento era scritto molto male, molte misure non sono efficaci o non sono comprensibili, né le successive FAQ aiutano.

L’aggiornamento del 2009

Il 25 giugno 2009 il Garante ha pubblicato il Provvedimento “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento” [doc. web n. 1626595].

Le modifiche più significative, oltre all’eliminazione di un riferimento già allora obsoleto al DPS e a un chiarimento sul fatto che il mantenimento dei nominativi degli AdS sia da prevedere contrattualmente, riguarda la possibilità per il titolare di demandare al responsabile le seguenti attività:

• mantenere un elenco degli AdS con l´elenco delle funzioni ad essi attribuite;
• verificare, almeno annualmente, le attività degli AdS.

Un motivo era il seguente: evitare la diffusione di nominativi di persone che potrebbero essere bersaglio di attacco.

Pertanto i responsabili dovrebbero rigettare tali richieste per assicurare la sicurezza dei loro clienti.

Questo si dovrebbe affiancare al principio di minimizzazione, sancito dal GDPR, ma presente anche in precedenza come “trattamento eccedente”: il responsabile deve necessariamente trattare i dati dei propri amministrativi di sistema e quindi non è necessario che li abbia anche il titolare.

Purtroppo il Provvedimento lascia ancora margini di ambiguità e questo dimostra come sia stato concepito e scritto male.

La lettura del Provvedimento dice che l’elenco va tenuto aggiornato e disponibile in caso di accertamenti da parte del Garante. Quindi il responsabili deve rendere sicuramente disponibile tale elenco in caso di accertamenti e su richiesta dell’autorità, ma non prima.

Altre considerazioni sul Provvedimento AdS

Il Provvedimento AdS negli anni non è più stato aggiornato, eppure era pieno di difetti (oltre che di errori) e sarebbe opportuno aggiornarlo. Tra questi, val la pena ricordare che:

• la raccolta dei login e logout degli AdS non serve a niente, visto che non vanno mantenuti i log delle attività;
• gli strumenti di raccolta e protezione dei log, anche se ve ne sono di gratuiti e “a basso costo” come segnalato da una precisazione del Provvedimento del 10 dicembre 2009 [doc. web 1676654], non coprono spesso tutte le esigenze e il loro database può sempre e comunque essere cancellato dagli AdS.

Sarebbe anche opportuno che venga meglio chiarito come vadano condotte le verifiche, ossia se sui log o sulle istruzioni fornite agli AdS, anche se sembra ovvia la seconda ipotesi, visto che le verifiche vanno condotte almeno ogni 12 mesi, mentre i log vanno conservati per almeno 6 mesi.