Posts Tagged Amministratore di sistema

News SGST - nuova veste e nuova forma.

Da oggi tutte le News  e le attività della SGST srl sono presenti anche su Facebook e Twitter !

Potete leggerci facendo click qui:

pulsante twitter

, , , , , , , , , , , , , , , , , , , , , , , , , ,

Nessun commento

Importante sentenza della cassazione sui software di controllo

La Corte di Cassazione ha recentemente affermato che i programmi informatici, che consentono il monitoraggio della posta elettronica e degli accessi ad Internet dei dipendenti, sono necessariamente apparecchiature di controllo, soggette alle condizioni di cui all’art. 4 dello Statuto dei lavoratori.

La decisione, depositata con sentenza n° 4375 del 23.2.2010 Sez. lavoro (23 febbraio 2010), chiarisce in modo certo una questione che, anche se apparentemente ovvia, ha suscitato nel tempo numerose controversie e posizioni distanti da parte di giudici e avvocati.

Il Garante Privacy non ha mai contribuito a far chiarezza sul punto, rinviando genericamente alla corretta applicazione della L. 300/07 (statuto dei lavoratori).

La Corte Suprema ha avuto modo di esaminare il caso, piuttosto frequente, di un lavoratore licenziato per aver navigato su siti web non pertinenti all’attività lavorativa.

Il datore di lavoro ha utilizzato un software apposito per effettuare controlli e constatare la condotta difforme dal Regolamento aziendale che disciplina l’utilizzo di Internet e della posta elettronica. Tale prassi è generalmente attuata e diffusa, ritenendo tali controlli legittimi nell’ambito dei c.d. “controlli difensivi”.

Tuttavia, il controllo dell’utilizzo delle infrastrutture non può prescindere da alcuni elementi e accorgimenti, in mancanza dei quali il controllo stesso risulta illegittimo.

Le conseguenze spesso sono drammatiche poichè, oltre a rendere inefficace la contestazione, danno luogo a provvedimenti sanzionatori di carattere penale in capo al datore di lavoro.

L’articolo integrale, il testo della sentenza e il commento sono accessibili dal seguente link: www.privacybydesign.it

viaImportante sentenza della cassazione sui software di controllo | Bernieri Consulting.

, , , , , , ,

Nessun commento

Il sito del Garante non raggiungibile a 24 ore dalla scadenza del 15 dicembre

Garante PrivacyIl sito istituzionale del Garante per la Protezione dei Dati Personali (Garante Privacy) è attualmente non raggiungibile.

A meno di 24 ore dalla scadenza fissata per gli adempimenti relativi agli amministratori di sistema, prevista per il 15/12/09, il sito dell’autorità garante non permette di accedere ai comunicati e agli aggiornamenti in materia.

Il sito del Garante offline a 24 ore dalla scadenza del 15 dicembre 2009

Il sito del Garante offline a 24 ore dalla scadenza del 15 dicembre 2009

Ogni amministratore di sistema, ogni azienda, in queste ore, sta cercando di capire se è soggetta o meno all’obbligo di legge; se sta per intervenire una nuova ed ulteriore proroga e, soprattutto, se vi sono ulteriori indicazioni ufficiali del Garante stesso. Questa comune attesa è motivata dalla presenza di numerosi errori, imprecisioni e lacune nei testi normativi, nonchè di palesi contraddizioni rispetto a quanto sino ad ora pubblicato dall’ufficio del Garante (comunicati, newsletter, FAQ).

La SGST srl, in quanto divisione operativa e specializzata dello Studio Bernieri, ha le competenze e l’esperienza per assistere le aziende nell’esatto adempimento in materia di privacy.

AGGIORNAMENTO: il sito è nuovamente operativo alle 12.30 del 14/12/09

Per maggiori informazioni, è possibile consultare la sezione dedicata CLICCANDO QUI.

, , , , , , , , ,

Nessun commento

Amministratori di sistema: il garante conferma, attenti alle truffe.

Administrator - redIl garante della Privacy conferma quanto da noi sostenuto nelle scorse Newsletter e quanto pubblicato sulle pagine dedicate del sito: attenti alle truffe.

Molti consulenti stanno dando informazioni errate e tendenziose allo scopo di obbligare aziende ad adempimenti ai quali non sono soggette o ad acquistare prodotti e servizi non richiesti dalla normativa.

Ecco in sintesi i punti ai quali prestare attenzione:

1) non tutte le aziende sono soggette la provvedimento sugli amministratori di sistema, vi sono ambiti di esclusione notevoli.

2) molte aziende non hanno la figura dell’amministratore di sistema e, quindi, anche se teoricamente soggette al provvedimento, non devono provvedere ad alcun adempimento

3) gli adempimenti richiesti dal provvedimento sono di natura elementare, realizzabili con gli strumenti già disponibili all’interno dei normali software di sistema o, comunque, realizzabili con strumenti semplici e gratuiti.

Si rinvia a quanto da noi già pubblicato sull’argomento per l’analisi dettagliata e per la procedura di AUTOVALUTAZIONE per scoprire se si è soggetti e cosa bisogna fare esattamente.

CLICCA QUI PER ACCEDERE AI MATERIALI

.

Ecco il testo originale del provvedimento del Garante:

Amministratori di sistema: precisazioni del Garante

In vista della scadenza del 15 dicembre, termine entro il quale imprese e altri soggetti interessati devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema, l’Autorità per la protezione dei dati personali ritiene opportuno precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende.

L’Autorità, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27 novembre 2008, ha infatti constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.

L’Autorità intende dunque ribadire quanto segue:

  • le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
  • le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.

Roma, 10 dicembre 2009

, , , , , , ,

Nessun commento

Amministratori di sistema: coinvolge solo pochi, attenti alle truffe !

Administrator - redCon l’approssimarsi del 15 Dicembre 2009, si moltiplicano le richieste di informazioni e cresce l’interesse sul tema relativo agli adempimenti per gli amministratori di sistema.

Gli adempimenti sono dettagliati nel provvedimento del Garante Privacy del 27 novembre 2008, pubblicato in Gazzetta Ufficiale n. 300 del 24 Dicembre 2008, e successivamente modificato dal Provvedimento a carattere generale del 25 giugno 2009.  Rinviamo alla lettura delle precedenti Newsletter per il dettaglio degli adempimenti.

Pubblichiamo il documento finale, vigente, coordinato dei due provvedimenti, che contiene il testo esatto delle norme da applicare: CLICCA QUI.

.

Rileviamo che, sull’onda dell’entusiasmo per le novità, stanno fiorendo una serie di servizi, prodotti software, newsletter e consulenti che diffondono notizie errate o tendenziose, fantasiosi sistemi che promettono il rispetto di incredibili standard di sicurezza, ecc.

Il nostro approccio, da sempre improntato alla trasparenza e alla professionalità, ci impone di distinguere tra ciò che è obbligatorio e sanzionato, ciò che è utile e consigliato o, addirittura, inutile e macchinoso.

E’ importante ribadire che il provvedimento del Garante sugli amministratori di sistema si applica SOLO AD UN RISTRETTO NUMERO DI SOGGETTI, SPECIFICAMENTE INDIVIDUABILE. La massima parte delle imprese, professionisti, artigiani ecc, non rientra nel campo di applicazione del provvedimento, non ha nuovi obblighi in relazione agli amministratori di sistema e non deve attuare alcun adeguamento o adempimento per la data del 15 dicembre 09.

RIPETIAMO: LA MAGGIOR PARTE DELLE IMPRESE NON DEVE FARE ASSOLUTAMENTE NULLA.

.

.

.

tipsCHI NON E’ SOGGETTO:

Le aziende che trattano come unici dati sensibili quelli relativi ai propri collaboratori, per le finalità di gestione del payroll.

Queste aziende trattano, ovviamente, anche altri dati NON SENSIBILI per ragioni commerciali, contabili, amministrative, fiscali, contrattuali, operative, ecc.

.

..

warningCHI E’ SOGGETTO:

Le aziende che trattano dati sensibili di soggetti che non sono propri collaboratori, a prescindere dalla finalità.

Le aziende che trattano dati sensibili dei propri collaboratori per le finalità diverse dal payroll.

(Questa seconda eventualità è estremamente rara e non prevista dalle autorizzazioni generali del Garante, pertanto illecita se non specificamente autorizzata.)

.

.

errorCHI E’ SOGGETTO… ma non deve fare nulla:

Le aziende soggette (VEDI SOPRA) al cui interno non è presente alcun soggetto proposto alla gestione dei sistemi informatici, gestiti direttamente dal Titolare.

In molte aziende, l’amministratore dei sistemi informatici coincide con il titolare che, di volta in volta, chiama singoli  tecnici per assistenza, riparazione, configurazione, ecc. In questi casi, pur essendo soggetti, al provvedimento del Garante non occorre fare assolutamente nulla. ATTENZIONE - NOMINARE L’AMMINISTRATORE DI SISTEMA NON E’ AFFATTO OBBLIGATORIO: se c’è, va gestito secondo le regole del Garante. Se non c’è o coincide con il titolare, non occorre strutturare assolutamente nulla.

.

.

.

SCOPRI SE SEI SOGGETTO:

Vuoi verificare autonomamente con un semplice e rapido questionario Online se sei tra i soggetti destinatari della normativa o se, al contrario, non ti riguarda? USA IL TEST DI AUTOVALUTAZIONE

X

.


.

X

.

.

.

.

La SGST srl è a disposizione per fornire assistenza e consulenza per l’esatto adempimento. Proponiamo due linee di intervento:

1) Servizio per aziende escluse: analisi dell’azienda ed esclusione dell’ambito di applicazione del provvedimento - rilascio di certificazione di non applicabilità del provvedimento sugli amministratori di sistema.
Prezzo forfetario 100 Euro + iva       Clicca QUI per richiedere il servizio

2) Servizio per aziende soggette: analisi dell’azienda, ipotesi di intervento e piano di implementazione delle misure obbligatorie in funzione dei sistemi informativi aziendali, solo per le aziende soggette. Il servizio è orientato al minimo costo di implementazione e alla razionalizzazione degli obblighi.
Prezzo forfetario 500 Euro + iva
Clicca QUI per richiedere il servizio


.

___________________________________________________________________________

DATO SENSIBILE E DATO PERSONALE: ricordiamo che la definizione di dato sensibile è limitata ai dati idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.  Ogni altro dato, pur personale, non è un dato sensibile e non è rilevante per l’applicazione del provvedimento sugli amministratori di sistema.

..

La definizione di legge che identifica l’esclusione recita quanto segue: D.Lgs 196/03 Art 34 comma 1.bis: …i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale…

.

, , , , , , ,

Nessun commento

Amministratori di sistema - proroga in extremis e modifiche agli obblighi

Tempo orologio prorogaIl garante per la protezione dei dati personali (Garante Privacy) ha pubblicato un provvedimento di modica e proroga in extremis degli adempimenti connessi agli amministratori di sistema in scadenza il 30/06/2009.

Il provvedimento è quello del “25 giugno 2009″ ovvero “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento.”

L’atto è pubblicato sul pubblicato su Bollettino del n. 106/giugno 2009 , reso noto tramite il sito Internet del Garante e in attesa di pubblicazione in gazzetta ufficiale.

Oltre ad essere stati modificati gli adempimenti stessi, è stato posticipata la data entro la quale porre in essere quanto prescritto dalla norma. La nuova scadenza è fissata per il 15/12/2009.

Con l’occasione, ricordiamo quanto già pubblicato con la nostra Newsletter del 23/06/2009 ovvero che, per le aziende che trattano con i propri sistemi informatici solo dati NON SENSIBILI (oltre ai dati sensibili connessi al payroll), non sussiste alcun adempimento in relazione agli amministratori di sistema.

.

.

Testo coodinato del provvedimento

Testo coordinato del provvedimento

Pubblichiamo il testo vigente, integrale e coordinato del provvedimento riguardante gli amministratori di sistema, così come risulta aggiornato e modificato dal nuovo provvedimento del Garante.

Il documento è accessibile tramite l’apposita sezione del sito a QUESTO LINK

, , , , , , ,

Nessun commento

Adempimenti relativi agli Amministratori di sistema - scadenza del 30 Giugno 2009

Administrator - redSGST srl, Studio Bernieri, GFB Studium srl, ARCADE srl

desiderano informare la spettabile clientela che, in vista della scadenza del 30/6/2009, è necessario considerare i seguenti adempimenti:

.

PRIMO CASO (frequente):

Se l’azienda cliente tratta con strumenti informatici unicamente dati non sensibili (oltre a quelli sensibili trattati per finalità di gestione del payroll, malattie, infortuni, adesione a sindacati ecc.) il titolare non è soggetto ad alcun obbligo in relazione agli amministratori di sistema. In questo caso, dunque, non è necessario provvedere ad alcuna nomina, non è necessario modificare le informative, non è necessaria alcuna modifica al DPS.

Ricordiamo che la definizione di dato sensibile si limita ai dati idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

.

SECONDO CASO (raro):

Se l’azienda cliente effettua trattamenti di dati sensibili con strumenti informatici anche per altre finalità,  differenti da quelle di mera gestione del payroll, trova applicazione il provvedimento del Garante Privacy relativo agli amministratori di sistema che prevede, in sintesi, segue:

Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza. Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare

Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

..

.

_____________________________________________

Per trasparenza e completezza, desideriamo informare tuttavia che, nell’ambito dei trattamenti in outsourcing o regolati da specifica nomina  quali responsabili esterni del trattamento conferito agli enti sopra citati, è stato nominato Christian Bernieri quale amministratore di sistema, amministratore di rete e amministratore dei database.

Quanto sopra esposto è conforme alle indicazioni fornite da Garante Privacy relative agli obblighi connessi agli amministratori di sistema.

, , , , ,

3 Commenti

Amministratori di sistema: prorogati i termini per gli adempimenti

link_gpIl Garante privacy ha prorogato al 30 giugno 2009 i termini per l’adozione da parte di enti, amministrazioni pubbliche, società private delle misure tecniche e organizzative che riguardano la figura degli “amministratori di sistema“. Le regole erano state fissate dal Garante con il provvedimento del 27 novembre 2008.

Questo provvedimento integra e modifica parzialmente quanto descritto dalla nostra Newsletter del 31/12/2008

L’opportunità di unificare le scadenze previste per l’adozione di tali misure e prorogare quindi tutti i termini, è stata valutata dall’Autorità tenuto conto anche dell’ampia platea dei soggetti interessati e dei quesiti pervenuti relativi all’esatta interpretazione degli adempimenti.

Il provvedimento integrale è disponibile QUI ed  è in corso di pubblicazione sulla Gazzetta Ufficiale.

.

.

Ricordiamo pertanto le prossime scadenze in materia di Protezione dei Dati Personali:

31/3/2009: termine per l’aggiornamento del DPS (Documento programmatico della Sicurezza)

30/06/2009: termine per l’adeguamento di informativa e DPS e minsure minime di sicurezza, alla luce delle nuove regole per gli amministratori di sistema

, , , , , , , , , , ,

Nessun commento

Il sito della SGST S.r.l. e quello correlato della sua Piattaforma Corsi multimediali (http://www.studiobernieri.com/mo) utilizzano cookies tecnici e di terze parti. Pigiando il pulsante OK o semplicemente proseguendo nella navigazione sul nostro sito si acconsente all'utilizzo dei cookies e si accetta la relativa privacy policy.
Per maggiori informazioni sui cookies utilizzati e sulla privacy policy del sito fare click qui: