Infotel
cloud

Il Presidente di Federambiente, Daniele Fortini ed il Presidente dell'INAIL, Marco Fabio Sartori hanno sottoscritto un importante accordo di collaborazionecultura della salute e della sicurezza nel settore dell'igiene ambientale. finalizzato a svolgere un'azione congiunta che favorisca le azioni di prevenzione e contribuisca a diffondere la cultura della salute e della sicurezza nel settore dell'igiene ambientale.

Federambiente - che con la recente intesa  raggiunta con le Organizzazioni Sindacali ha dato vita ad un Fondo Nazionale per la sicurezza -  attraverso questo accordo con l'INAIL, intende porre ancora una volta la sicurezza sul lavoro al centro dei propri obiettivi, rafforzando l'informazione e la formazione dei lavoratori del settore ambientale sugli eventuali rischi connessi alla complessa attività svolta.

L'INAIL, come previsto dal Decreto Legislativo 81/2008, è destinatario, tra le altre, delle funzioni di formazione, informazione, consulenza e assistenza in materia di salute e sicurezza sul lavoro e privilegia le sinergie con i diversi soggetti del sistema prevenzionale nazionale - in particolare con le Associazioni rappresentative delle Parti sociali, datoriali e sindacali - per garantire al meglio la tutela globale ed integrata dei lavoratori assicurati.

Grazie all'accordo firmato, Federambiente ed INAIL declineranno piani operativi e azioni che siano in grado di incidere concretamente sui livelli di sicurezza.
Il proposito comune è quello di diffondere e radicare nelle imprese del settore la cultura della sicurezza sul lavoro, trasformando le questioni ad essa legate da problema tecnico a soluzione gestionale e modificando la percezione, di imprese e lavoratori, che la sicurezza non è solo un costo improduttivo, bensì un vantaggio competitivo nell'economia dell'azienda e nel mercato.

Per il presidente di Federambiente "quella che ci offre INAIL è una grande opportunità  per sviluppare le politiche di prevenzione antinfortunistica in un settore, quello dell'igiene urbana, oggettivamente molto esposto al rischio per la salute dei lavoratori.
Predisporremo subito programmi e progetti per concretizzare azioni ed iniziative, perché l'intesa con INAIL, di cui abbiamo apprezzato un rinnovato dinamismo, produca presto risultati tangibili"

Per il presidente INAIL "con questa intesa l'Istituto dà ulteriore attuazione alle competenze attribuite dal nuovo Testo unico sulla sicurezza, estendendo la propria funzione di formazione e assistenza anche a favore delle imprese e dei consorzi che gestiscono i servizi pubblici di igiene e di risanamento ambientale. Si tratta di un accordo di grande rilevanza che dimostra, ancora una volta, la volontà dell'Ente di operare in stretta sinergia con le parti sociali, confermando come la diffusione di un'autentica cultura della prevenzione sia il volano più efficace per il raggiungimento dell'ambizioso obiettivo della 'tutela integrata' dei lavoratori".

fonte inail

Per gli immigrati irregolari è più facile trovare lavoro, ma si tratta quasi sempre di lavoro nero, pagato meno e con turni più pesanti. Lo rivela l'indagine "Sicurezza, lavoro nero, immigrazione" condotta da Tito Boeri per la Fondazione De Benedetti e l'Università Bocconi di Milano. L'economista ha anticipato i primi risultati (ma i dati sono ancora in lavorazione) intervenendo al Forum nazionale salute e sicurezza nei luoghi di lavoro, organizzato venerdì a Bologna dalla Fondazione Alma Mater. La percentuale degli irregolari che lavorano si avvicina al 90%, ed è superiore a quella dei regolari (comunque sopra l'80%). Nel 68,2% dei casi, però, chi non ha i documenti è soggetto a lavoro nero. "Il 40% degli irregolari guadagna meno di 5 euro all'ora, mentre fra i regolari la percentuale scende al 10%", spiega Boeri, "ma chi non è in regola fa turni più pesanti: il 38,1% ad esempio lavora di notte".
L'indagine, secondo l'economista, è "la prima rappresentativa in Italia, perché non è basata sull'anagrafe né su chi accede alle strutture d'emergenza". I dati sono stati raccolti attraverso 1.037 interviste in otto città italiane ad alta densità migratoria (fra cui Milano, Bologna e Rimini). I ricercatori hanno selezionato casualmente alcuni edifici nelle zone più abitate dagli stranieri, entrando direttamente nelle loro case. "Abbiamo scoperto che gli irregolari sono il 30% (a Bologna il 20%)", aggiunge Boeri, "fra persone in attesa di rinnovo del permesso di soggiorno, persone con documenti transitori e altri che non hanno mai avuto documenti".
"Gli immigrati irregolari continuano ad arrivare in Italia perché sanno che troveranno lavoro, anche se in nero", spiega l'economista. "D'altro canto molti datori di lavoro sanno che a loro possono chiedere turni più pesanti pagandoli meno, mentre la probabilità di una sanzione è molto bassa. E sanno anche che prima o poi arriverà una sanatoria". Si spiega proprio con il lavoro nero, secondo Boeri, il dato relativo alle morti bianche, che aumentano fra gli stranieri (+8% dal 2005 al 2007) e calano fra gli italiani. Anche il presidente dell'INAIL, Marco Fabio Sartori, aveva rimarcato quest'anomalia durante la presentazione dell'ultimo rapporto infortunistico 2008. "L'incidenza infortunistica è più alta tra gli stranieri", ha detto Sartori, "perché questi lavoratori vengono spesso impiegati in settori più a rischio, connotati da una forte componente manuale ma senza un'adeguata formazione professionale".
Per cercare di ovviare a questa situazione c'è bisogno innanzitutto di un cambiamento culturale forte. Ed è proprio questo l'obiettivo del progetto di ricerca dell'Università di Bologna e Alma Mater. "Tutto è nato da un colloquio con il presidente Napolitano, quando è stato ospite del nostro ateneo", spiega il presidente della fondazione Walter Tega. "Abbiamo creato tre tavoli tematici (normativa, salute e sicurezza, sistemi di gestione) per costruire un modello di gestione della sicurezza e identificare le aziende virtuose". "Il fenomeno degli infortuni sul lavoro è in costante diminuzione", aggiunge il direttore regionale dell'INAIL, Alessandro Crisci, "ma non siamo ancora in linea con l'obiettivo europeo del calo del 25% nel quinquennio 2008-2012: per questo è necessaria un'accelerazione. Il progetto della Fondazione Alma Mater va nella direzione giusta, perché unisce le eccellenze dell'università e delle aziende". Nel campo della sicurezza serve quindi "un cambiamento culturale", ovvero "far capire alle aziende che la prevenzione degli infortuni conviene", aggiunge Crisci. "Uno dei modi per riuscirci è riconoscere e valorizzare le imprese che si impegnano nel campo della sicurezza".
(RedSoc/ Emilia Romagna)

Formare - attraverso un percorso integrato - la figura del "safety manager", ovvero un professionista incaricato di operare per garantire la sicurezza nei luoghi di lavoro. E' quanto prevede un progetto pilota frutto del protocollo d'intesa firmato recentemente da Regione Toscana, INAIL, Università di Firenze, Siena e Pisa, organizzazioni sindacali, Ance, Cna, Confartigianato e Api.

''E' il primo progetto del genere in Italia", ha detto Eduardo Bruno, presidente della Commissione speciale lavoro del Consiglio regionale che lo ha promosso. "Ha un carattere fortemente innovativo e abbiamo già aperto un tavolo con alcune realtà del Parlamento e del governo che si occupano di sicurezza per fare in modo che diventi un progetto pilota anche a livello nazionale. La Regione Toscana si candida ad attuarlo".

La giunta regionale - sempre con la collaborazione di INAIL Toscana - ha destinato a questa iniziativa 180mila euro per il triennio 2009/2011. La creazione della nuova figura professionale del "safety manager" partirà con il prossimo anno accademico e il progetto prevede nove mesi di formazione per 150 ingegneri: tre mesi in aula, tre di stage in strutture pubbliche di prevenzione e controllo e tre in azienda. L'obiettivo, per l'appunto, è il miglioramento della formazione dei professionisti della sicurezza, in particolare nell'ambito di settori d'interesse prioritario quali i cantieri - temporanei o mobili -, le infrastrutture e l'industria.

fonte inail

Carte di credito, banche, sanità elettronica sotto la lente del Garante
Varato il piano ispettivo per il primo semestre 2010. Nello scorso anno applicate sanzioni per circa 1.600.000 euro
Banche, carte di credito, fascicolo sanitario elettronico, vendita di banche dati per finalità di marketing, sistema informativo del fisco, enti previdenziali. E' su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani che si concentrerà l'attività di accertamento del Garante per la privacy nei primi sei mesi dell'anno. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, all'informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.
 
Un primo bilancio sull'attività ispettiva relativa al 2009 svolta, come di consueto, in collaborazione con il Nucleo Privacy della Guardia di Finanza, mostra il significativo lavoro di controllo svolto dall'Autorità: sono state circa 500 le ispezioni effettuate e 368 i procedimenti sanzionatori avviati. Sono state riscosse somme per circa 1 milione e 600 mila euro, di cui oltre 62.000 relativi alla mancata adozione di misure di sicurezza da parte di aziende e pubbliche amministrazioni.
 
Sul fronte sanzioni va ricordato che nel 2009 sono state applicate le nuove sanzioni introdotte dal decreto “mille proroghe” del dicembre 2008. L'Autorità ha contestato per la prima volta - a una società che commercializza dati per finalità di marketing - la sanzione, che va da 50.000 a 300.000 euro, prevista nei casi in cui si riscontrino più violazioni commesse in relazione a banche dati di particolare rilevanza o dimensione.
 
43, infine, sono state nel 2009 le segnalazioni all'autorità giudiziaria che hanno riguardato, tra l'altro, casi di mancata di adozione delle misure di sicurezza, trattamento illecito dei dati, falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante. 
 

Certificati medici: scambio di dati tra Inps e Inpdap
L'Inps potrà ricevere dall'Inpdap le informazioni sulle amministrazioni a cui inviare i certificati medici dei dipendenti pubblici. Il Garante ha infatti dato il via libera allo scambio di dati tra i due enti che avevano comunicato all'Autorità la necessità di realizzare tale flusso informativo.
 
In base alla “riforma Brunetta” del pubblico impiego in tutti i casi di assenza per malattia la certificazione medica deve essere inviata per via telematica, direttamente dal medico che la rilascia, all'Inps e da questo immediatamente inoltrata all'ente dove il dipendente lavora. Per poter eseguire questi invii l'Inps deve acquisire presso l'Inpdap gli estremi identificativi delle amministrazioni dove prestano servizio gli impiegati. Perché una tale comunicazione di dati tra enti sia possibile, è però necessario che essa sia prevista da una norma di legge o di regolamento oppure sia indispensabile per assicurare lo svolgimento delle funzioni istituzionali dei soggetti pubblici interessati. Mancando la previsione normativa, l'Inps ha dunque rappresentato al Garante la necessità di accedere ai dati dell'Inpdap per poter svolgere i propri compiti istituzionali in materia di controlli sulle assenze.
 
L'Autorità ha riconosciuto, pur in assenza di un'espressa norma di legge e di regolamento, le esigenze dell'Inps e ha stabilito che l'ente, per le proprie funzioni istituzionali, possa acquisire dall'Inpdap i dati delle amministrazioni dove prestano servizio i dipendenti pubblici. Ha comunque prescritto ai due enti di assicurare l'accesso selettivo alle sole informazioni essenziali e di individuare strumenti e misure organizzative per garantire la protezione dei dati, in particolare con il tracciamento delle operazioni compiute dal personale incaricato. Inps e Inpdap dovranno poi stipulare una convenzione atta a circoscrivere le finalità per le quali viene consentito questo esclusivo trattamento dei dati, definendo rigorose procedure per l'autenticazione e le autorizzazioni degli utenti deputati alla consultazione dei dati. L'Inps non dovrà in ogni caso creare banche dati autonome con le informazioni ricevute dall'Inpdap. In conformità alle norme in materia, infine, ha ricordato l'Autorità, i certificati medici trasmessi dall'Inps alle amministrazioni non dovranno contenere l'indicazione della diagnosi.
 

Archivi Schengen: rafforzare le misure a protezione dei dati
Il Garante privacy ha chiesto al Ministero dell'interno un rafforzamento delle misure impiegate a tutela dei dati trattati in applicazione dell'Accordo di Schengen, che prevede uno scambio di informazioni tra le banche dati delle forze di polizia dei Paesi aderenti al fine di garantire meglio la sicurezza delle frontiere.
 
La sicurezza e l'integrità dell'archivio nazionale del Sistema Schengen, data la particolare importanza e delicatezza delle informazioni contenute (segnalazioni su soggetti non appartenenti all'area Schengen, persone scomparse, estradizioni, notifiche di provvedimenti dell'Autorità Giudiziaria), dovranno essere maggiormente garantite dalla Divisione N-S.i.s. del Dipartimento di pubblica sicurezza che gestisce il database nazionale. Gli accessi effettuati al sistema dovranno essere tracciabili e basati su procedure certificate, su cui dovrà vigilare un'unità di auditing potenziata e responsabile della sicurezza dei dati. Analoga accortezza dovrà essere adottata per garantire i flussi informativi della Divisione S.i.r.e.n.e. che raccoglie dal C.e.d. del Dipartimento e dagli uffici di polizia interessati, le informazioni aggiuntive ritenute utili a dare seguito alle segnalazioni e le trasmette agli uffici dell'omologa Divisione del Paese in cui il soggetto è stato rintracciato. Tali dati dovranno essere inviati mediante posta elettronica certificata e, laddove si utilizzi il fax,  dovranno essere protetti con particolari tecniche di cifratura e l'uso di gruppi chiusi di numerazione. La sala server delle Divisioni N-S.i.s. e S.i.r.e.n.e. dovrà essere protetta mediante l'adozione di una procedura speciale di strong authentication, ottenuta dalla combinazione di più credenziali di accesso (badge nominale e dispositivo basato su una caratteristica biometrica), dovrà inoltre essere garantita la disponibilità e la continuità di esercizio della banca dati adottando piani di prevenzione che impediscano la sospensione dei servizi. Il Ministero dell'interno dovrà dare riscontro all'Autorità dell'avvenuta adozione delle misure prescritte.
 
Va ricordato, infine, che l'Autorità italiana collabora con quelle degli altri Paesi Schengen al fine di ottimizzare il funzionamento armonizzato del Sistema informativo Schengen.
 

Ue-Usa: la Commissione lancia una consultazione sulla protezione dei dati
La Commissione europea ha lanciato nei giorni scorsi una consultazione pubblica sul futuro accordo tra Ue e Usa sulla protezione dei dati personali e lo scambio di informazioni a fini di collaborazione giudiziaria e di polizia. Nel nuovo quadro del Programma di Stoccolma sulla giustizia, libertà e sicurezza approvato nell'ultimo Consiglio europeo di dicembre, la Commissione intende raccogliere indicazioni utili alla definizione dei contenuti che saranno oggetto del futuro negoziato con gli Stati uniti su un nuovo accordo in materia di privacy e sicurezza. La consultazione sarà aperta sino al 12 marzo prossimo, e il documento relativo è disponibile all'indirizzo http://ec.europa.eu/yourvoice/consultations/index_en.htm. E' stata inoltre programmata una serie di incontri con i soggetti istituzionali più direttamente coinvolti. Al primo di tali incontri, tenutosi lo scorso 2 febbraio a Bruxelles, ha partecipato il presidente dell'Autorità italiana Francesco Pizzetti, anche in qualità di presidente del Gruppo di lavoro europeo in materia di cooperazione giudiziaria e di polizia (WPPJ).

Gli Amministratori di sistema presi in considerazione dall'Autorità sono sia le " figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti" sia le "figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi".
Essi, continua il Provvedimento, svolgono "attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware" che "comportano, infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò anche quando l'amministratore non consulti in chiaro le informazioni medesime".
Secondo il ragionamento presente nel documento in analisi, il nuovo Codice implica, attraverso determinati obblighi, tale figura. Il vigente testo prevede, infatti, "l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione".
In effetti si può aggiungere che molta parte degli obblighi previsti nel medesimo Allegato B rappresentano compiti caratteristici dell'Amministratore di sistema così come presente in molte Aziende: così, ad esempio, la realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) e la custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.

Il Provvedimento sottolinea, poi, che una sua posizione organizzativa in termini di responsabile di trattamento è facoltativa, come previsto dalle regole generali (art. 29, comma 1(1), del Codice).

Il documento evidenzia altresì la rilevanza penale di certe condotte del ruolo in esame, potendo (secondo l'interpretazione del Garante) incorrere, qualora abusi della qualità di operatore del sistema, in reati quali, ad esempio, l'accesso abusivo a sistema informatico telematico (art. 615-ter), la frode informatica (art. 640-ter), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis e -ter) e il danneggiamento di sistemi informatici telematici (art. 635-quater e -quinquies).

Il documento non si sofferma affatto, invece, sulle eventuali responsabilità derivanti, direttamente, dal Codice sui dati personali.

    *  Assegnare la nomina di Amministratore di Sistema dopo attenta valutazione di esperienza, capacità e affidabilità del soggetto designato;
    * Prevedere, in fase di nomina, l’elenco degli ambiti di operatività consentiti all’Amministratore di Sistema;
    * Riportare sul DPS l’elenco degli estremi identificativi degli Amministratori di Sistema e le funzioni a loro attribuite (se accedono a dati personali dei lavoratori, il titolare del trattamento deve rendere noti gli estremi dell’Amm. di Sistema ai lavoratori nel modo ritenuto più idoneo);
    * Verificare annualmente le attività svolte dall’Amministratore di Sistema in relazione al rispetto delle misure di sicurezza previste dal DPS;
    * Prevedere la registrazione degli accessi dell’Amministratore di Sistema al sistema e agli archivi. Tali registrazioni devono comprendere riferimenti temporali, riferimento all’evento che le ha generate e devono essere conservate almeno per sei mesi.

    
1. ai sensi dell'art. 154, comma 1, lett. h) del Codice, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sull'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato;

    2. ai sensi dell'art. 154, comma 1, lett. c) del Codice prescrive l'adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):

        a. Valutazione delle caratteristiche soggettive
        L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

        Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

        b. Designazioni individuali
        La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

        c. Elenco degli amministratori di sistema3
        Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

        Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

        d. Servizi in outsourcing3
        Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

        e. Verifica delle attività3
        L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

        f. Registrazione degli accessi
        Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

    3. dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che è congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati (vedi proroga al punto c) del provv. 25 giugno 2009);

    3 bis. dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali;4

    4. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia–Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.

Il tema legato all'implementazione di misure di sicurezza e del rispetto della normativa sulla privacy è stato da sempre al centro dell'attenzione di quanti si trovano a gestire grandi banche dati o ad essere titolari o responsabili deltrattamento o della conservazione all'interno di importanti aziende.

Per quest'ultimi, infatti, sono state previste nuove cautele da rispettare nella scelta e nomina degli amministratori di sistema. L'individuazione precisa e responsabile di tali soggetti, infatti, riveste una notevole importanza, perché è una delle scelte fondamentali all'interno di un'azienda e contribuisce a incrementare la complessiva sicurezza dei trattamenti svolti. Basti pensare, infatti, che molto spesso l'amministratore di sistema è dotato di una particolare posizione a cui spetta anche la capacità di stabilire - in raccordo con il titolare e/o eventuali altri responsabili dei relativi trattamenti - chi può accedere in modo privilegiato alle risorse del sistema informativo e a tutti i dati personali aziendali (anche sensibili): per tale motivo gli amministratori di sistema devono essere scelti con particolare attenzione, poiché i rischi che possono correre le banche dati o le reti informatiche sono sempre più elevati.

Dopo le recenti e numerose modifiche normative o "di prassi" a cui abbiamo assistito negli ultimi tempi, ecco che viene pubblicato un ulteriore provvedimento del Garante Privacy che introduce un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici e di garanzia della sicurezza degli stessi dati e sistemi.
Il Garante Privacy, infatti, con un provvedimento del 27 novembre 2008 ("Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"), ha introdotto l'obbligo per gli amministratori di sistema (compresi coloro che svolgono la mansione di amministratore di rete, di data base o i manutentori), di conservare gli "access log" per almeno sei mesi in archivi immodificabili e inalterabili.

Devono, cioè, essere adottati sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e, novità forse più importante, gli access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo (non inferiore a sei mesi). Come non pensare a processi di conservazione digitale in linea con regole tecniche previste dall'art. 71 del Codice dell'amministrazione digitale e oggi contenute nella deliberazione CNIPA n. 11/2004 e nel DPCM 13 gennaio 2004?

I titolari dovranno altresì favorire una più agevole conoscenza, nell'ambito della propria organizzazione, dell'esistenza di eventuali amministratori di sistema: è importante garantire, in questo modo, la conoscibilità dell'esistenza di tali figure e di chi svolge ruoli analoghi all'interno di tutti gli enti e le organizzazioni; viene precisato, inoltre, che gli amministratori di sistema, indipendentemente se nominati incaricati o responsabili del trattamento, devono essere sempre persone fisiche ben individuate all'interno del DPS e il loro nomi devono essere comunicati o resi conoscibili da tutti i soggetti interessati.

A parere di chi scrive, quindi, per evitare spiacevoli sanzioni, ogni titolare dovrà verificare che tale elencazione sia stata effettuata nell'ambito del prossimo aggiornamento annuale del DPS e, nei casi in cui il titolare non sia tenuto a redigerlo, si dovrà provvedere ad inserire il nominativo degli amministratori di sistema in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Se poi l'attività degli amministratori di sistema riguarda, anche indirettamente, servizi o sistemi che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati, in qualità di datori di lavoro, sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema all'interno delle proprie organizzazioni attraverso apposita informativa ex art. 13 d.lgs. 196/2003 (in alternativa si possono utilizzare anche strumenti di comunicazione interna quali l'intranet aziendale, ordini di servizio a circolazione interna etc.). Sono fatti salvi, in ogni caso, i casi di esclusione per legge di tale forma di pubblicità o conoscibilità.

Nel caso, poi, di servizi di amministrazione di sistema affidati in outsourcing, il titolare avrà l'obbligo conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

I titolari del trattamento avranno, altresì, un obbligo di verifica annuale sull'operato degli amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
In tema di esclusioni, tale provvedimento non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle recenti misure di semplificazione, previste per le piccole e medie imprese o per i professionisti che trattano dati personali per le sole finalità amministrative e contabili.

Proviamo ora ad esaminare i motivi per i quali il Garante ha ritenuto necessario introdurre tale ulteriore adempimento:
1 - In primo luogo, gli amministratori di sistema, o coloro che gestiscono l'accesso a banche dati, sono generalmente preposti a operazioni da cui discendono grandi responsabilità ed elevate criticità rispetto alla protezione dei dati personali a cui hanno accesso. Ricordiamo, infatti, che per sua natura l'amministratore di sistema è dotato di una capacità di azione propria e di un rapporto fiduciario che lo lega al titolare nello svolgimento delle relative mansioni (ruolo così importante per le aziende e per le grandi organizzazioni pubbliche e private, tanto da farlo nominare a volte anche quale responsabile del trattamento). Ma anche nelle piccole realtà tale figura riveste una certa importanza, perché dovrebbe essere preposto a compiti di vigilanza e controllo del corretto utilizzo del sistema informatico gestito e utilizzato;

2 - In secondo luogo, le attività di backup o disaster recovery (regolamentate anche nel Codice Privacy), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione o la semplice manutenzione hardware comportano la possibilità per tali soggetti di agire sulle informazioni critiche aziendali, attività tutte che ricadono nella definizione di "trattamento di dati personali", anche quando l'amministratore non consulti in chiaro tali informazioni;

3 - Le funzioni tipiche dell'amministrazione di un sistema sono specificatamente richiamate all'interno dell'allegato B del Codice Privacy, laddove si prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Si è voluto, quindi, assicurare un maggiore controllo su chi di fatto si occupa dell'assolvimento degli adempimenti previsti nello stesso allegato B, ovvero adempimenti che in genere sono affidati all'amministratore di sistema: realizzazione di copie di sicurezza, custodia delle credenziali, gestione dei sistemi di autenticazione e di autorizzazione, etc.;

4 -Infine, vi sono alcuni reati previsti dal codice penale per i quali il rivestire la funzione di amministratore di sistema costituisce una circostanza aggravante (abuso della qualità di operatore di sistema nell'accesso abusivo a sistema informatico o telematico - art. 615 ter c.p. - o di frode informatica - art. 640 ter c.p. -, oppure per le fattispecie di danneggiamento di informazioni, dati e programmi informatici - artt. 635bis e ter c.p. - e di danneggiamento di sistemi informatici e telematici - artt. 635-quater e quinques).

Con tale provvedimento il Garante ha, così, lanciato un ulteriore monito a tutti i titolari del trattamento, invitando ad affidare tale incarico, sia in qualità di responsabile sia di incaricato, a soggetti che siano affidabili, prima di tutto, oltre che capaci ed esperti, poiché devono fornire idonea garanzia del pieno rispetto delle disposizioni in materia di corretto trattamento, compreso il profilo relativo alla sicurezza informatica (in considerazione anche delle responsabilità, di natura penale e civile, che possono derivare in caso di incauta o inidonea designazione).

Infatti, il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che "per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice). Si dovrà procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Tutto questo dovrà essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già in essere o che iniziano entro il 22.01.09, mentre, per i trattamenti successivi, sarà obbligatorio sin da subito.