Amministratori di sistema - Gestione dei log - scadenza 15/12/2009
|
|
Tweet |
Visualizza PDF | Visualizza per la Stampa
by: sinapsi
Visualizzazioni Totali: 68
N° di parole: 468
Data: Thu, 3 Dec 2009 Ora: 10:31 AM
0 commenti
Con provvedimento del 27 novembre u.s. il Garante per la protezione dei dati personali ha stabilito una serie di adempimenti a carico delle aziende in relazione all’attività dell’amministratore di sistema. Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008 è stato pubblicato il testo del provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle
attribuzioni delle funzioni di amministratore di sistema".
Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti "amministratori di sistema" nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, imponendo nuovi adempimenti ai titolari di trattamenti effettuati (anche parzialmente) con strumenti elettronici.
La normativa prevede in sintesi 3 obblighi:
individuazione e nomina degli amministratori di sistema
elenco degli amministratori di sistema
registrazione degli accessi: Le registrazioni (access log) devono essere complete, inalterabili e verificabili nella loro integrità, così da considerarsi adeguate al raggiungimento dello scopo di verifica. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.
Il non rispetto della normativa prevede le sanzioni in primis per il titolare (l'azienda e quindi il legale rappresentante) dei dati.
Poiché l’indicazione dell’amministratore di sistema e la tenuta dei file di log costituiscono misure minime di sicurezza, in base alla nuova versione del d. lgs. 196/2003, così come modificato dal d.l. 207/2008, convertito in legge del 27.2.2009, n. 14, la loro mancata adozione determina tre sanzioni:
- civile, ex art. 15, per i danni che possono verificarsi a terzi dalla mancata adozione di tali misure
- penale: arresto fino a 2 anni, ex art. 169
- amministrativa: in ogni caso, pagamento della somma da 20.000 a 120.000 euro, con esclusione del pagamento in misura ridotta, ex art. 162, c. 2-bis.
Qualora poi si propenda per la tesi in base alla quale il provvedimento del Garante del 27 novembre del 2008, non sia da annoverare tra le misure minime di sicurezza, ma sia una prescrizione di misura necessaria ai sensi dell’art. 154 d. lgs. 196/2003, allora la sanzione amministrativa di riferimento sarà da rinvenirsi nell’art. 162, c. 2-ter, ove il pagamento è della somma da 30.000 a 180.000 euro
Tenendo conto di quanto chiarito dal Garante, Sinapsi Informatica propone Legal Logger la soluzione a costo limitato ( a partire da € 1.000,00 per 5 fonti di Log) che garantisce il rispetto della normativa garantendo un impatto molto limitato all' organizzazione interna e al budget aziendale.
Per informazioni più dettagliate segnaliamo il link alla nostra news:
http://www.sinapsinet.it/index.cfm?method=mys.news&news_id=106
Note sull'autore
Marco Avezzù - Sinapsi Informatica s.r.l.
Votazione: Non ancora votato
