Obbligo mantenimento Log di sistema e amministratore di sistema

Buongiorno avvocato, vorrei sottoporre alla su attenzione una domanda in materia di tutela della privacy e di informatica.
In base alle norme del garante della privacy per quanto \tempo vanno mantenuti i log di un server, in particolare quelli contenenti le attività degli amministratori di sistema ???????

RISPOSTA

Per rispondere al presente quesito, dobbiamo fare riferimento al provvedimento del Garante della privacy, intitolato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – emesso in data 27 novembre 2008 e pubblicato in G.U. n. 300 del 24 dicembre 2008.
Secondo il garante, il termine riferibile ai log di un server, contenenti le attività degli amministratori di sistema, è pari a sei mesi, al contrario del termine generale che è pari a tre mesi.
Tale termine è valido ed efficace, a partire dal 15 dicembre 2009 per ogni azienda pubblica o privata. Ogni azienda quindi, dopo aver individuato i sistemi (dispositivi di rete, database, apparati di sicurezza e sistemi software complessi) che contengono i dati più critici ed averne nominato gli amministratori, dovrà dotarsi di un sistema di Log Management in grado di tracciare gli accessi degli operatori ai dispositivi ed alle applicazioni che gestiscono. Questo sistema dovrà conservare i dati in maniera sicura per un periodo minimo di sei mesi e dovrà essere consultabile dall'azienda e dalle autorità preposte alle attività di controllo.
Il Garante della privacy, in attuazione dei poteri di cui all'articolo 154 lettera c) del decreto legislativo 196 del 2003 (testo unico in materia di privacy), ha decretato quindi come sopra specificato.
La lett. c) del comma 1 dell'articolo 154 codice della privacy prevede la possibilità, da parte del Garante, di prescrivere misure e accorgimenti, specifici o di carattere generale, che i titolari di trattamento sono tenuti ad adottare.
… misure come quelle contenute nel suddetto provvedimento !
Per completezza espositiva, è bene ricordare cosa dobbiamo intendere per amministratore di sistema, secondo la normativa a tutela del diritto alla riservatezza.

Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del provvedimento del 27 novembre 2008 tuttavia, vengono però considerate tali, anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
E' lo stesso garante della privacy a determinare l'ambito applicativo delle sue misure di carattere tecnico-giuridico.

A disposizione per tutti i chiarimenti del caso.

Fonti:

• Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008
• DECRETO LEGISLATIVO 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali.