Non è la relazione dell'amministratore di sistema (d'ora in poi, per semplicità, solo 'AdS'), semmai è un atto che riguarda il suo operato. In base al provvedimento del Garante del 27 novembre 2008, ovvero nel silenzio dello stesso sul punto e dunque nella ampia discrezionalità/libertà a disposizione, l'atto sembra potersi strutturare come il semplice verbale di una riunione, presieduta dal Titolare, finalizzata al controllo della “rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti” delle attività eseguite in un determinato lasso temporale da tale delicatissima funzione.
A consentire la verifica ci pensa un software che traccia gli accessi logici dell'AdS “ai sistemi di elaborazione e agli archivi elettronici”.
Il punto 4.5 del provvedimento definisce i requisiti di queste 'tracce' o registrazioni. Ma nulla dice di come debba essere organizzata la verifica. Si può nondimeno affermare, in base ai principi generali sui trattamenti di dati (e le registrazioni degli accessi logici lo sono) e, in particolare, in virtù di quello di minimizzazione, che la verifica non potrà che essere condotta mediante l'estrazione e l'analisi di un campione di registrazioni, non già, come suol dirsi, 'a tappeto'. Lo impongono anche il buon senso e una intuitiva ragionevolezza.
Il verbale, come ogni atto del genere, dovrà recare l'indicazione di un luogo e di una data, dell'oggetto della riunione, delle funzioni partecipanti; nonché, per il caso concreto, dei criteri prescelti per la verifica, dei dati acquisiti in base a quei criteri, delle risultanze emergenti dagli stessi e della loro valutazione, delle eventuali osservazioni delle funzioni partecipanti, delle conclusioni della verifica, non senza essere perfezionato dalle debite sottoscrizioni.
