Diritti interna

Doveri interna

ricerca avanzata

Sogei: prescrizioni e proroga dei termini - 16 dicembre 2009 [1681794]

[doc. web n. 1681794]

vedi anche
[provv. 
Amministratori di sistema]
[Provvedimento di modifica - 25 giugno 2009 ]

[Misure di semplificazione]
[
Proroga del 12 febbraio 2009]
[
Consultazione pubblica]
[
faq]

Sogei: prescrizioni e proroga dei termini - 16 dicembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il provvedimento del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) con il quale il Garante ha richiamato l´attenzione di enti, amministrazioni, società private sulla figura professionale dell´amministratore di sistema e ha prescritto l´adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici;

VISTO il provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009) con il quale è stato integrato e parzialmente modificato il predetto provvedimento del 27 novembre 2008 -recependo alcune indicazioni pervenute anche da associazioni di categoria nel corso della consultazione pubblica conclusasi il 31 maggio 2009- e sono stati prorogati al 15 dicembre 2009 i termini per l´adempimento delle prescrizioni di cui al punto 2) del provvedimento del 27 novembre 2008, come modificate e integrate dal punto b) del provvedimento del 25 giugno 2009;

VISTA la richiesta di Sogei s.p.a. del 14 dicembre 2009 (prot. N. 20091214/002/AD/U) con la quale sono stati, in particolare, illustrati i criteri adottati per l´adeguamento alle suddette prescrizioni del Garante;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

PREMESSO

Sogei s.p.a., con la nota del 14 dicembre 2009, ha illustrato i criteri adottati per l´adeguamento alle prescrizioni contenute nel provvedimento del Garante del 27 novembre 2008, successivamente modificato in data 25 giugno 2009, concernenti l´adozione di specifiche misure tecniche ed organizzative volte ad agevolare la verifica sull´attività degli amministratori di sistema da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.

In base alle dichiarazioni rese dalla Sogei s.p.a., il piano di adeguamento illustrato prevede quanto segue:

  • entro il 15 dicembre 2009, il consolidamento degli ambiti relativi al sistema operativo mainframe e alle banche dati DB2, e la componente primaria del Sistema della fiscalità e, contestualmente, la designazione dei 33 Amministratori di sistema che operano in tali ambiti;
  • entro il 30 aprile 2010, il consolidamento degli ambiti relativi alle banche dati Microsoft SQL server e Oracle server centrali, con contestuale designazione degli ulteriori Amministratori di sistema;
  • entro il 30 giugno 2010, il consolidamento dei restanti ambiti previsti: banche dati Oracle server periferici e MySQL, sistemi di Controllo Accessi, sistema operativo Microsoft client, sistema operativo Microsoft server, sistema operativo Unix-Linux server, sistema di posta elettronica, sistemi Proxy e, contestualmente, la designazione dei restanti Amministratori di sistema;
  • nel periodo transitorio, fino al prospettato termine del 30 giugno 2010, l´azienda intende avviare comunque le attività periodiche di verifica e controllo previste dal provvedimento del Garante, attivando un sistema di audit interno. In particolare, per quanto riguarda gli ambiti già consolidati, saranno svolti i controlli per verificare la rispondenza dell´operato degli Amministratori alle misure organizzative, tecniche e di sicurezza previste. Per i restanti ambiti saranno svolte verifiche sull´attuazione del piano di adeguamento previsto e, previo periodo di sperimentazione, controlli sugli accessi tracciati nei singoli sistemi che saranno riportati in appositi registri.

Sogei s.p.a., con la predetta nota del 14 dicembre 2009, ha considerato che il sopra descritto piano di adeguamento sia in linea con le prescrizioni del Garante ed ha contestualmente prospettato, nell´eventualità che ciò non sia integralmente condiviso, di considerare la richiesta "come formale istanza di proroga del termine di applicazione del provvedimento stesso, alle date sopra riportate o a diversa data" che l´Autorità ritenga opportuna.

OSSERVA

In base a quanto rappresentato da Sogei s.p.a., entro il 15 dicembre 2009 è completata dalla Società stessa la messa in opera delle misure e degli accorgimenti prescritti dal Garante relativamente ai sistemi mainframe e alle banche dati ospitate su DBMS (data base management system) a tecnologia IBM DB2 restando quindi temporaneamente esclusi da tale completamento i soli sistemi distribuiti, ovvero quei sistemi utilizzati per realizzare funzioni applicative centrali o periferiche della Società, basati su tecnologie varie, comprendenti Oracle DBMS, Microsoft SQL Server, MySQL, sistemi operativi Unix e Linux.

Preliminarmente deve positivamente rilevarsi come Sogei s.p.a. abbia dichiarato di aver provveduto a garantire l´applicazione delle prescrizioni di questa Autorità nell´ambito della parte più cospicua del proprio sistema informativo, ovvero nella componente mainframe con cui viene gestita la base di dati dell´anagrafe tributaria. Tale risultato appare di notevole valore, poiché in ogni caso assicura, unitamente alla concomitante attuazione delle prescrizioni impartite dal Garante all´Agenzia delle entrate, il controllo delle operazioni compiute su uno dei più importanti data base pubblici nazionali.

Per quanto riguarda i sistemi distribuiti, per i quali è stato dichiarato che sono ancora esclusi dall´adeguamento, deve tuttavia rilevarsi che gli stessi rivestono comunque una grande importanza poiché per il loro tramite vengono resi servizi di notevole rilievo a cittadini, imprese e professionisti oltre che alla stessa amministrazione finanziaria.

Alla luce di tale circostanza, pertanto, si rileva che il sopra descritto piano di adeguamento non risulta in linea con le prescrizioni del Garante e si rende quindi necessario valutare la richiesta proroga del termine già stabilito da questa Autorità per il completamento di tale processo di adeguamento avviato, tenuto anche conto della complessità del sistema informativo gestito da Sogei s.p.a..

Al riguardo, Sogei s.p.a. ha dichiarato che, per quanto riguarda l´aspetto "organizzativo", sono state individuate n. 183 persone, già incaricati del trattamento dei dati personali, da designare quali Amministratori di sistema ed è stato attuato, per queste, uno specifico piano informativo. Per quanto riguarda, invece, il profilo "tecnologico", è stato, circoscritto l´effettivo campo di applicazione con l´individuazione degli "ambiti tecnologici" di intervento ed è stata successivamente effettuata l´analisi degli interventi da porre in essere per ciascuno di essi.

Per alcuni ambiti tecnologici di intervento, ha dichiarato ancora Sogei s.p.a., le azioni hanno riguardato l´attivazione e/o la razionalizzazione di funzionalità e di processi esistenti mentre, per la gran parte degli altri ambiti, è stato necessario individuare le tipologie di prodotti da acquisire e poi procedere alla sperimentazione delle possibili soluzioni con l´installazione di specifici prototipi. A conclusione di tali attività propedeutiche, è stato avviato a novembre scorso il processo di acquisizione dei prodotti.

In tale quadro, pertanto, deve ritenersi che la data del 30 giugno 2010 quale termine prospettato da Sogei s.p.a. per il completamento dei lavori di adeguamento di tali sistemi distribuiti, allo stato degli elementi che sono stati valutati, non risulti un termine giustificato in quanto le misure e le prescrizioni contenute nel provvedimento del 27 novembre 2008, nella componente tecnica, erano state rese note mediante la loro pubblicazione in Gazzetta Ufficiale (cfr. G.U. n. 300 del 24 dicembre 2008) e non sono state modificate dalle integrazioni e parziali modifiche intervenute a seguito dell´adozione del provvedimento del 25 giugno 2009.

Deve pertanto ritenersi invece giustificato indicare, per il completamento dei lavori di adeguamento di tali sistemi distribuiti, un termine più breve, rispetto a quello prospettato dalla Società, che si ritiene congruo individuare nella data del 31 maggio 2010 ritenendo invece congruo il termine proposto da Sogei s.p.a. al 30 aprile 2010 entro il quale completare il consolidamento degli ambiti relativi alle banche dati Microsoft SQL server e Oracle server centrali, con contestuale designazione degli ulteriori Amministratori di sistema.

Si ritiene, quindi, necessario, sulla base della richiesta di Sogei s.p.a. del 14 dicembre 2009, concedere la proroga del termine entro il quale Sogei s.p.a. deve adottare le specifiche misure tecniche prescritte dall´Autorità con il provvedimento del 27 novembre 2008, come modificato dal provvedimento del 25 giugno 2009, come segue:

  • entro il 30 aprile 2010 deve essere completato il consolidamento degli ambiti relativi alle banche dati Microsoft SQL server e Oracle server centrali, con contestuale designazione degli ulteriori Amministratori di sistema;
  • entro il 31 maggio 2010 deve essere completato il consolidamento dei restanti ambiti previsti relativi a banche dati Oracle server periferici e MySQL, sistemi di Controllo Accessi, sistema operativo Microsoft client, sistema operativo Microsoft server, sistema operativo Unix-Linux server, sistema di posta elettronica, sistemi Proxy con contestuale designazione dei restanti Amministratori di sistema.

Si ritiene, inoltre, necessario che nel periodo transitorio rispetto ai sopra indicati nuovi termini di adeguamento, Sogei s.p.a. effettui le attività periodiche di verifica e controllo previste dal provvedimento del 27 novembre 2008, come modificato dal provvedimento del 25 giugno 2009, attivando un sistema di audit interno. In particolare, per quanto riguarda gli ambiti già consolidati, si ritiene che Sogei s.p.a. effettui i controlli per verificare la rispondenza dell´operato degli Amministratori alle misure organizzative, tecniche e di sicurezza prescritte da questa Autorità con i predetti provvedimenti. Per i restanti ambiti si ritiene che debbano, altresì, essere svolte a cura di Sogei s.p.a. verifiche sull´attuazione del piano di adeguamento previsto e controlli sugli accessi tracciati nei singoli sistemi che dovranno essere riportati in appositi registri.

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi dell´art. 154, comma 1, lett. c) del Codice dispone, sulla base della richiesta di Sogei s.p.a. del 14 dicembre 2009, la proroga del termine entro il quale la Società medesima deve adottare le specifiche misure tecniche prescritte dall´Autorità con il provvedimento del 27 novembre 2008, come modificato dal provvedimento del 25 giugno 2009, come segue:

  • entro il 30 aprile 2010 deve essere completato il consolidamento degli ambiti relativi alle banche dati Microsoft SQL server e Oracle server centrali, con contestuale designazione degli ulteriori Amministratori di sistema;
  • entro il 31 maggio 2010 deve essere completato il consolidamento dei restanti ambiti previsti relativi a banche dati Oracle server periferici e MySQL, sistemi di Controllo Accessi, sistema operativo Microsoft client, sistema operativo Microsoft server, sistema operativo Unix-Linux server, sistema di posta elettronica, sistemi Proxy con contestuale designazione dei restanti Amministratori di sistema.

2. ai sensi dell´art. 154, comma 1, lett. c) del Codice dispone, inoltre, che Sogei s.p.a., nel periodo transitorio rispetto ai sopra indicati nuovi termini di adeguamento, effettui le attività periodiche di verifica e controllo previste dal provvedimento del 27 novembre 2008, come modificato dal provvedimento del 25 giugno 2009, attivando un sistema di audit interno. In particolare, per quanto riguarda gli ambiti già consolidati, Sogei s.p.a deve effettuare i controlli per verificare la rispondenza dell´operato degli Amministratori alle misure organizzative, tecniche e di sicurezza prescritte da questa Autorità con i predetti provvedimenti. Per i restanti ambiti devono essere svolte a cura di Sogei s.p.a. verifiche sull´attuazione del piano di adeguamento previsto e controlli sugli accessi tracciati nei singoli sistemi che devono essere riportati in appositi registri.

Roma, 16 dicembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi