Privacy e AdS applicativi - Parte 2

Dopo l'articolo dal titolo "Privacy e AdS applicativi" in cui si riportavano le parole (verbali) di un rappresentante dell'ufficio del Garante in merito alle utenze applicative con poteri di amministrazione, Massimo Cottafavi di Reply mi ha segnalato un problema di interpretazione.

Come sappiamo, il Provvedimento sugli amministratori di sistema era seguito da delle FAQ. La FAQ 22 dà ragione all'interpretazione riportata:
- D: È corretto affermare che l'accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l'accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
- R: Si. L'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema

Evidentemente, visto che si tratta di un allegato al provvedimento sugli amministratori di sistema, è lecito esplicitare ulteriormente così: "L'accesso applicativo, *anche di power user*, non è compreso tra le caratteristiche tipiche dell'amministratore di sistema".

Però Max fa notare che questo è smentito dalla FAQ 1: "l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi [...] i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni".

Quando un'applicazione diventa complessa e quindi i suoi AdS sono da considerare AdS? Se un power user pasticcia con le utenze di un sistema Zucchetti per medie imprese non viene registrato, mentre quello del SAP sì?

I dubbi permangono, quindi.

L'articolo precedente:
- http://blog.cesaregallotti.it/2013/02/privacy-e-ads-applicativi.html