Privacy: Il Garante ed i sistemi ERP

Il 15 dicembre è scaduto il termine stabilito indicato dal Garante della Privacy per nominare l'amministratore di sistema per i sistemi informatici di aziende che trattano dati personali.

Si esamina brevemente il provvedimento del Garante  "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008".

Sempre più le aziende ricorrono al trattamento informarico dei dati personali sia della filiera aziendale (es. fornitori, dipendenti) ma anche e soprattutto dei clienti. Gli strumenti informatici utilizzati possono essere semplici ed efficaci Sw di gestione fino ai sistemi ERP. Tali strumenti specifici devono essere controllati e gestiti correttamente dall'organizzazione che li utilizza.

La corretta gestione può essere riassunta in 5 punti.

Punto1-Nomina dell'amministratore di sistema (scadenza 15 dicembre 2009) che si occupa di gestire tecnicamente e tecnologicamente il sistema. Ha un livello privilegiato di accesso al sistema quindi sostiene corettamente il dispositivo deve avere competenze tecniche ed esperienza professionale comprovata, inoltre deve conoscere la normativa vigente in materia di privacy.

Punto 2- Assegnazione puntuale di tutti gli incarichi. I designati con lettera di incarico saranno dotati di un livello di accesso ai macchinari ed ai database adeguato al proprio profilo.

Punto 3-Lista degli amministratori.documento da redigere accuratamente e da rendere disponibile in caso di accertamento del Garante.

Punto 4-Il sistema utilizzato deve loggare le attività di sistema e permettere di rilevare eventuali anomalie ed irregolarità. Quindi le registrazioni delle attività devono essere complete, inalterabili e consultabili (per almeno 6 mesi). La registrazione, che potrebbe risultare molto onerosa per le società più piccole, può avvenire, dice il Garante, anche con SW open source disponibile in rete.....ma con caratteristiche adatte allo scopo.

Punto 5- Almeno ogni anno dovrà essere certificata la regolarità delle attività svolte .

Link al dispositivo del Garante