
Amministratore di sistema e GDPR: cosa è importante sapere
10 Giugno 2019
Molto spesso sentiamo parlare di una figura importante in ambito privacy, quella dell’Amministratore di sistema. Si tratta di una professione il cui compito principale è quello di gestire e manutenere il sistema informatico di un’azienda.
Per poter comprendere appieno le peculiarità e l’importanza della figura, occorre considerare la definizione fornita dal Garante: “figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti”.
Dunque l’AdS è colui che nell’espletamento di mansioni prettamente tecniche quali il salvataggio dei dati, l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione, l’installazione e l’aggiornamento di antivirus e firewall, la gestione delle credenziali e dei sistemi di autenticazione, autorizzazione e la manutenzione hardware, accede in modo privilegiato o per caso fortuito, ad una notevole quantità di informazioni aziendali che può considerarsi a tutti gli effetti un trattamento di dati personali.
La figura dell’AdS in un’azienda
L’amministratore di sistema può essere interno o esterno all’azienda: il primo caso si verifica nelle società più articolate dotate di un’infrastruttura informatica più complessa, dove è generalmente il Responsabile IT a svolgere le attività tipiche dell’AdS.
Tendenzialmente infatti le piccole e medie imprese si rivolgono a tecnici esterni per la gestione dei sistemi informatici in uso. In questo caso si tratta di soggetti che solo occasionalmente operano su un sistema informatico per manutenzione oppure per risolvere un guasto.
Considerate le mansioni svolte dal soggetto si comprenderà la rilevanza attribuita allo stesso all’interno del sistema di gestione privacy aziendale, soprattutto al fine di evitare incauti affidamenti del ruolo.
Come cambia la professione dell’Amministratore di Sistema?
La scarsa consapevolezza della capacità di azione sui dati aziendali tipica dell’Amministratore di sistema, ha indotto il Garante Privacy ad emanare il provvedimento del 27 novembre 2008 recante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, sopperendo in tal modo all’ingiustificata lacuna normativa del Codice Privacy vigente che non includeva al suo interno una disciplina specifica del ruolo e delle mansioni della figura.
Anche il Regolamento UE 679/2016, seguendo la linea del Codice Privacy, non contempla la figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati, limitandosi a richiamarla implicitamente in alcune norme, per le sue specifiche competenze tecniche.
Pertanto, quanto disposto dal Garante nel provvedimento precedentemente citato, si ritiene tuttora valido, non essendo stato abrogato né dal GDPR, né dal decreto di armonizzazione alla normativa europea, il D.Lgs. 101/2018.
Obblighi del Titolare nei confronti dell’AdS
Come primo step il Titolare dovrà verificare se prevedere l’AdS all’interno della sua organizzazione: l’obbligo di nomina si pone solo in capo ai soggetti che trattano dati sensibili di terzi oltre a quelli dei dipendenti. Dall’ambito di applicazione del provvedimento si ritengono esclusi i soggetti che effettuano il trattamento ai soli fini amministrativo-contabili.
Nella prima situazione il Titolare è tenuto a rispettare una serie di adempimenti. Sul punto infatti,
il Garante ha individuato una serie di misure e accorgimenti rivolti ai Titolari dei trattamenti effettuati con strumenti elettronici, richiedendo in particolare:
- Valutazione delle caratteristiche soggettive, che non si limita alle conoscenze tecniche, ma anche all’esperienza, la capacità e l’affidabilità del soggetto designato;
- Indicazione analitica degli ambiti di operatività consentiti;
- Conservazione degli estremi identificativi delle persone fisiche AdS, con l’elenco delle funzioni ad essi attribuite;
- Verifica delle mansioni svolte con cadenza almeno annuale;
- Adozione di sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici.
- Necessità di informare i lavoratori sull’identità degli AdS, qualora questi ultimi, nell’espletamento delle proprie mansioni, trattino dei loro dati personali.
La figura dell’AdS nel GDPR
Come precedentemente anticipato, il GDPR non prevede una disciplina ad hoc in merito, di conseguenza le prescrizioni del Garante sopraesposte, si assumono tuttora valide.
Il Titolare è tenuto ad assolvere tali obblighi per il principio di accountability o responsabilizzazione, ex art. 24 del Regolamento, che impone l’adozione di misure di sicurezza per garantire la conformità al Regolamento europeo.
Il richiamo implicito alla figura dell’AdS è ricavabile proprio dalla lettura dell’art. 32, che tra le misure di sicurezza tecniche da implementare al fine di assicurare la sicurezza degli strumenti elettronici, prevede la cifratura dei dati, la pseudonimizzazione, il ripristino dei dati in caso di incidenti fisici o tecnici e le verifiche periodiche delle misure tecniche ed organizzative adottate. È evidente che l’applicazione di tali misure richiede necessariamente la partecipazione di personale specializzato e competente, appunto l’Amministratore di Sistema, sin dalle fasi di progettazione e protezione dei dati.
Nell’ipotesi in cui l’AdS sia un soggetto interno all’azienda, dovrà ricevere un’apposita lettera di nomina che descriverà in maniera dettagliata le mansioni. Qualora i compiti siano invece affidati in outsourcing ad un soggetto esterno, questi sarà nominato Responsabile.
Si ritiene opportuno precisare che con il GDPR la parte significativa della disciplina si concentra sui doveri del Titolare e del Responsabile, sulla cosiddetta accountability. In questo senso si coglie una perfetta coerenza tra quanto prescritto nel provvedimento del 2008 da parte dell’Autorità Garante e quanto previsto dal GDPR: il Garante nel prescrivere misure e accorgimenti ai Titolari in merito alla figura dell’AdS, ha risposto pienamente ai principi di responsabilità e di efficacia delle misure organizzative e di sicurezza richieste dal GDPR.
Nel settembre 2018 è entrato in vigore il decreto di armonizzazione al Regolamento Europeo, il D.Lgs. 101/2018 che adegua la normativa nazionale, ossia il Codice Privacy, al GDPR.
In merito alla figura dell’amministratore di sistema, ancora una volta non vi sono espliciti richiami, pertanto si rimanda nuovamente al provvedimento di cui sopra.