Privacy e amministratore di sistema in una cooperativa: è necessaria la nomina?

0
35

Sono stata da poco investita dell’incarico di adeguare la cooperativa nella quale opero e di cui sono socia al D.Lgs.196/03. Ho il dubbio se la società rientra tra i soggetti che ai sensi delle misure di semplificazione adottate dal Garante oltre che dover adottare misure minime di sicurezza semplificate, non dovrebbe neppure nominare un amministratore di sistema. Di fatto, però, noi abbiamo un ADS (anche lui socio della cooperativa) che si occupa della gestione della intranet e del sito aziendale. Sarei orientata a non fare la nomina formale dell’ADS ai fini privacy, in quanto, indipendentemente dall’architettura informatica dell’azienda, noi non trattiamo dati sensibili, soprattutto con supporti elettronici (le paghe sono affidate in all’esterno). Interpreto correttamente oppure mi sfugge qualcosa?

Innanzitutto è necessario fare una premessa: l’amministratore di sistema (se è ritenuto necessario in relazione alle dimensioni dell’impresa e all’attività da esso svolta) deve essere nominato indipendentemente dalla tipologia di dati personali trattati, quindi sia che i dati siano sensibili, sia che i dati siano comuni.

In base a quanto lei afferma, direi che nella sua cooperativa non è necessario individuare la figura dell’amministratore di sistema, come del resto ha precisato lo stesso Garante per la privacy nella FAQ n.6 sugli ADS, nella quale ha chiarito i casi di esclusione dall’obbligo di adempiere al suo provvedimento del 27 novembre 2008. Infatti, l’Autorità ha precisato che “Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art.29 D.L.25 giugno 2008, n. 112, convertito, con modificazioni, con L.6 agosto 2008, n.133; art.34 del Codice; Provv. Garante 27 novembre 2008)”.

Anche se nella vostra azienda di fatto c’è un ADS, dal momento che non vengono trattati dati “pericolosi” per la privacy, a parere di chi scrive non è necessario procedere alla nomina formale dell’ADS e all’indicazione del suo nome nel DPS aziendale, né, tanto meno, occorre effettuare il controllo sulla sua attività mediante l’access log.

Fonte: Marcello Polacchini – Esperto IPSOA

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here