Lunidata Blog di Stefano Tonelli

Il 31 Marzo scade, come ogni anno, il termine per la stesura del DPSS, il documento programmatico in materia di protezione e sicurezza dei dati personali. Quest’anno lascio ad altri il compito di fornire consigli utili di ordine pratico, vorrei invece ragionare più sull’impatto che la normativa Privacy ha sulle aziende e sui professionisti e su come viene vissuta quest’incombenza.

Fin dall’entrata in vigore del 2004, il DM196/03 è stato visto più come un’inutile peso che come un’opportunità per migliorare la sicurezza dei sistemi e delle procedure per il trattamento dei dati. Chi come me ha investito molto sulla propria formazione con l’obiettivo di poter fornire una buona consulenza ai propri clienti, ha dovuto poi scontrarsi con la scarsa volontà da parte dei clienti stessi di adottare le misure minime e di produrre la documentazione che la normativa prevede. Insomma, per aziende e professionisti la normativa Privacy è solo un inutile costo, da affrontare soltanto con l’obiettivo di evitare sanzioni spropositate.

Inoltre l’obiettivo principale che la legge voleva raggiungere, cioè la modifica delle comuni abitudini nei confronti del trattamento dei dati personali, non è stato neppure minimamente avvicinato. Di fatto tutti quelli che - come il sottoscritto - hanno fatto cancellare il proprio numero di telefono dagli elenchi pubblici, ricevono sempre le solite telefonate promozionali durante le ore di pranzo e cena e, di fatto, mia moglie prova sempre il solito disagio nell’inviare al lavoro il certificato medico in quanto è cosciente che, in un batter d’occhio, tutti i colleghi verranno a conoscenza del suo problemino fisico.

Da quest’anno poi, ad alimentare la sensazione di inutilità della normativa, si è aggiunta anche la necessità di tracciare gli accessi degli amministratori di sistema ai sistemi stessi. A lato pratico questa tracciatura non ha alcuna efficacia in quanto non è previsto il monitoraggio delle attività che l’amministratore ha effettuato. Si tratta quindi di un adempimento che crea solamente costi aggiuntivi senza generare alcun vantaggio per l’azienda.

Cumunque sia le leggi vanno rispettate ed è obbligatorio quindi rispettare le misure minime e produrre la documentazione necessaria, magari facendosi aiutare da uno di quei consulenti demotivati che copiaincollano le informative, così come copiaincollano da altri siti (senza chiedere il permesso) i testi per i loro pagine di presentazione sul web. Provare per credere:

Sito originale: http://www.lunidata.it/privacy.vsf
Sito clone: http://www.bit-sound.com/bit_consulting%20-%20consulenza%20privacy.asp

sicurezza informatica consulenza privacy, garante privacy, normativa privacy, privacy, software privacy

Alla fine non è arrivata la tanto attesa proroga per l’entrata in vigore delle nuove norme in termini di Privacy che prevedono la nomina dell’amministratore di sistema e la registrazione dei log di accesso. Dal 15 dicembre queste norme devono essere quindi applicate in quelle realtà dove esista un sistema sufficientemente articolato da prevedere - nei fatti - la figura dell’amministratore.

Il Garante della Privacy ha infatti chiarito che:

Le prescrizioni non si applicano a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

normative amministratore di sistema, consulenza privacy, normativa privacy, privacy, privacylab, software privacy

Ho partecipato la scorsa settimana a un interessante seminario sulle nuove normative Privacy che riguardano gli amministratori dei sistemi IT. Le informazioni principali che ho acquisito sono:

Nomina - Le aziende devono nominare un amministratore di sistema solo nel caso che questa figura esista veramente, cioè il piccolo ufficio con 2/3 PC, dove gli utenti hanno gli stessi diritti di accesso, non deve nominare l’amministratore di sistema. Nel caso l’amministratore sia un esterno è necessario impostare un rapporto di affidamento dati con l’azienda esterna, la quale dovrà poi indicare quali siano i suoi incaricati aventi il ruolo di amministratore.

Scadenza - Il termine per la nomina dell’amministratore di sistema è fissato al 15 dicembre 2009, considerato che il 14 dicembre è la data di discussione del decreto milleproroghe, è probabile sia stato scelto il 15 per avere la possibilità di effettuare un’ulteriore proroga, la quale probabilmente ci sarà, diversamente a quanto avevo indicato nel mio articolo precedente.

Registrazione LOG - La registrazione dei log deve essere effettuata con una procedura che non ne permetta l’alterazione e che assicuri la correttezza di date e orari. I log da registrare sono solamente quelli di login e logout dell’amministratore del sistema.

Dal punto di vista tecnico il problema è notevolmente semplificato rispetto a quello che sarebbe stato necessario affrontare per la registrazione di tutti i log relativi agli accessi al sistema e a cartelle e file, effettuati dai singoli operatori: in questo caso gli spazi necessari per l’archiviazione di 6 mesi di log sarebbero stati enormi. Dal punto di vista operativo, invece, considerato che quasi sicuramente ci sarà una proroga, il consiglio è di evitare allarmismi e di pianificare con calma e attenzione l’adeguamento dell’IT aziendale alla nuova normativa.

normative amministratore di sistema, normativa privacy, privacy, software privacy

Il Garante per la Privacy ha deciso di rimandare l’entrata in vigore delle norme che obbligano l’archiviazione crittografata dei log degli amministratori di sistema. La proroga era nell’aria viste le difficoltà dovute alla carenza di soluzioni adeguate al rispetto della normativa. La scadenza sarà riproposta il 15 dicembre p.v. e -a questo punto- difficilmente ci sarà un’ulteriore proroga.

Trackback: Amministratori di Sistema: proroga al 15 dicembre

normative consulenza privacy, garante privacy, normativa privacy, software privacy

Si avvicina la scadenza annuale Privacy relativa alla redazione del DPSS e - come ogni anno - la confusione regna sovrana. Quest’anno poi, le nuove norme relative alla semplificazione degli adempimenti e all’introduzione della figura dell’Amministratore di Sistema, hanno contribuito a creare ulteriore incertezza sull’argomento.

In merito alle semplificazioni bisogna ricordare che la possibilità di produrre una documentazione semplificata riguarda un numero decisamente minimo di soggetti. Si tratta perlopiù di microaziende artigianali o piccoli negozi che non utilizzano il computer e che trattano dati sensibili relativi esclusivamente ai dipendenti. Per tutti gli altri - cioè la maggioranza - la semplificazione non è applicabile. In merito all’Amministratore di Sistema, l’entrata in vigore della normativa è stata rimandata al 30 Giugno 2009, quindi don’t panic.

La Lunidata Sistemi Informatici offre ormai da cinque anni, quella che riteniamo sia la soluzione definitiva per l’elaborazione della documentazione Privacy in azienda. Si tratta del software Privacylab, un’applicazione Web in grado di gestire in modo semplice ed efficace tutti gli aspetti relativi alla normativa. Il prodotto è veramente valido e curato nei minimi dettagli, il risultato che permette di raggiungere è di altissima qualità ed è adeguato a qualsiasi tipo di azienda, a prescindere dalle sue dimensioni e complessità.

In linea con quanto espresso nell’articolo “Siamo una Web Company“, possiamo fornire, oltre alla soluzione software, anche il supporto e la formazione sul prodotto senza limiti di zone e territori, cioè in tutta Italia.

Per ricevere maggiori indicazioni su Privacylab e sui servizi correlati, vi invitiamo a visitare la specifica pagina sul nostro sito Web e a compilare l’apposito modulo di richiesta informazioni. Con Privacylab (e Lunidata…) l’adeguamento alla normativa Privacy è a solo un click dalla tua azienda.

software amministratore di sistema, documento programmatico, dpss, normativa privacy, privacylab, scadenza 31 marzo, semplificazione privacy, software privacy

Ho partecipato con curiosità - in qualità di rivenditore ufficiale di Privacylab - al seminario “Lezioni di Privacy” organizzato dalla E.Ferrari sas, che si è svolto oggi a Sarzana. L’interesse personale riguardava soprattutto le novità che sono state recentemente introdotte, in particolar modo la parte relativa all’introduzione della figura dell’amministratore di sistema.

Tale figurà sarà prevista, a partire dal 30 giugno 2009, in tutte quelle organizzazioni dove esiste un sistema automatizzato di gestione degli utenti e delle relative password. L’amministratore di sistema potrà essere una figura esterna all’azienda e sarà necessario tracciare, tramite file di log crittografati e non modificabili, le operazioni effettuate sul sistema dall’amministratore stesso.

Quest’ultimo aspetto è senza dubbio quello più problematico in quanto comporterà la necessità di acquistare software specifici per eseguire questa funzione. Pare che il costo di questi strumenti non sia banale, in alcuni casi potrebbe agevolmente superare il costo del server. Su questi aspetti comunque sarò in grado di fornire informazioni più precise nei prossimi giorni.

Intanto ringrazio il Dott. Chiozzi per le interessanti risposte che ha voluto fornirmi in seguito ad alcune mie domande su temi specifici e ringrazio Emanuela per avermi invitato a questo interessante incontro che spero si possa ripetere anche il prossimo anno.

corsi e buffet amministratore di sistema, dpss, normativa privacy, privacylab, software privacy