Amministratori di sistema doc

Il Garante della privacy ha fornito alcuni chiarimenti sull'adempimento in scadenza al 30 giugno 2009 prospettando un identikit flessibile dell'esperto informatico e dell'amministratore di sistema con particolare riferimento ai cosiddetti access log; in particolare, ha risposto ai vari quesiti dettagliatamente posti da imprese e uffici pubblici. Così, sull'obbligo di registrazione degli accessi logici, il garante ha precisato che questo riguarda i sistemi client “postazioni di lavoro informatizzate”; la raccolta dei log, cioè, serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità senza che sia richiesto che vengano registrati dati sull'attività interattiva degli amministratori di sistema. La registrazione, nei casi più semplici, può essere effettuata tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza che sia necessario l'uso di strumenti software o hardware aggiuntivi. Questi sistemi garantiscono, generalmente, anche la inalterabilità delle registrazioni. In presenza di casi più complessi, poi, i titolari potranno adottare sistemi più sofisticati, quali i log server centralizzati e certificati. Il provvedimento, spiega l'Autority, si limita a prevedere come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli accessi (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento. Non è necessario sottoporre a registrazione l'accesso applicativo in quanto questo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema; per la nomina di quest'ultimo, infine, è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative.