Con il provvedimento del 27/11/2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008), modificato in base al provvedimento del 25/06/2009,il Garante della Privacy ha introdotto l'obbligo per i titolari del trattamento dei dati di conservaregli "access log" degli amministratori di sistema, per almeno 6 mesi in archivi immodificabili e inalterabili.

Obiettivo delle nuove regole:
il controllo dell'attività dei tecnici informatici
Il Garante Privacy ha ricevuto numerose denunce contro tecnici informatici sleali, scorretti o superficiali che hanno danneggiato la privacy di molti. Pertanto, valendosi dei poteri conferitigli dalla legge, il Garante ha deciso di imporre con la forza (cioè con previsione di sanzioni economiche colossali) due regole sostanziali per arginare il fenomeno.
In sostanza il Garante impone di controllare strettamente tutti coloro che nella gestione dei computers hanno un ruolo tale per cui “potrebbero” visionare dati senza autorizzazione o – peggio – copiarli per esportarli all’esterno.
Si tratta dei cosidetti AMMINISTRATORI DI SISTEMA.

Il Garante in realtà si riferisce anche agli ASSIMILABILI : figure che nella gestione dei computer, della rete o del software intervengono anche solo part-time o su chiamata, purché con un minimo di sistematicità, nonché coloro che svolgono mansioni relativamente marginali, ma che potenzialmente consentirebbero di realizzare abusi anche importanti: l’incaricato di eseguire il backup (potrebbe fare una copia da esportare), il cosiddetto "Custode delle Passwords" (dato che custodisce, sia pure in busta chiusa, le credenziali segrete, potrebbe in qualche modo prenderne visione e abusivamente accedere a qualunque dato), ecc.

Ecco le due nuove regole fondamentali imposte dal Garante
1) qualsiasi accesso informatico (= mediante account+password) a qualsiasi computer ecc. da parte di chiunque svolga funzioni di Amministratore di sistema o Assimilato, deve essere registrato informaticamente mediante un sistema continuo, automatico e immodificabile. Tali registrazioni devono essere conservate integre per almeno 6 mesi (con l’obbligo di dimostrarne in qualsiasi momento, appunto, l’integrità, cosa che si ottiene con determinate soluzioni tecniche per la registrazione).
In tal modo l'Amministratore di sistema e gli altri "assimilati" devono sentirsi sulal testa una sorta di spada di Damocle.
Infatti, il Titolare Privacy ha la possibilità di esaminare periodicamente tali registrazioni, per individuare eventuali anomalie di comportamento da parte dei tecnici (accesso in giorni od orari strani, accesso ingiustificato a particolari computer, ecc.). Inoltre, essi devono sapere che, nel caso emergano lamentele o possibili irregolarità, queste registrazioni potranno essere sottoposte a un esperto che potrà eventualmente ricavarne indizi o prove di abuso.
Tali registrazioni dai requisiti forti sono facilmente realizzabili dal punto di vista tecnico, perché sfruttano i Registri degli eventi, che sono funzionalità già presenti nei sistemi operativi di qualsiasi computer allo scopo di identificare le cause degli errori o svolgere analisi statistiche. Tali registrazioni non disturbano l’attività del sistema informatico, né lo rallentano. Possono essere eseguite in automatico, senza far perdere tempo alle persone. Non registrano mai i contenuti, ma solo eventi informatici puntiformi connessi a un account, quali l’ingresso in un computer o l’uscita, l’apertura di un software applicativo o di una base dati, ecc. oppure un certo tipo di comandi impartiti.