Amministratori di sistema GDPR: tutto quello che c’è da sapere

Amministratori di Sistema gdpr

La figura dell’Amministratore di Sistema (AdS) è centrale per imprese, associazioni, enti pubblici e privati che vogliono dimostrare il rispetto del GDPR. Ecco chi è e di che cosa si occupa: facciamo il punto dopo alcuni anni da quando il Garante si è posto il problema di questa figura tecnica giuridicamente occulta.

Chiara Ponti

INDICE:

Chi sono gli Amministratori di Sistema?

Gli Amministratore di Sistema sono professionisti che si occupano di gestire e manutenere il sistema informatico di un’organizzazione. Possono essere figure professionali interne o esterne alla stessa.

Partendo dal contesto di software complessi, immaginiamo una figura tecnica dotata di una “super utenza” con una “super password” in grado di creare, gestire, modificare tante utenze nominative quante sono occorrenti.

Gli Amministratori di Sistema sono dunque figure professionali aventi privilegi amministrativi che utenti ordinari non hanno.

Il riconoscimento dell’Amministratore di Sistema (di seguito “AdS”) avvenne con il noto Provvedimento del 2008, aggiornato nel 2009, unico nel suo genere, tant’è che a distanza di anni è rimasto granitico nella sua portata, in allora molto innovativo. Non di meno fu discusso specie in relazione alla raccolta dei log di accesso.

 

Amministratori di Sistema e GDPR: il provvedimento del Garante

Il Garante per la Protezione dei Dati Personali all’interno del provvedimento del 27.11.2008Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (G.U. 24 dicembre 2008, n° 300), introduceva il concetto di Amministratore di Sistema.

Il Provvedimento fornisce interpretazioni ed indicazioni su come gestire in modo corretto le attività partendo dallo stabilire chi sono gli Amministratori di Sistema (AdS), dovendosi per questi intendere:

«…in ambito informatico, le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti»

Nonché:

 «…anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.».

Dati i pieni poteri dell’AdS nella gestione dei sistemi informatici e dei seri rischi correlati, all’interno del provvedimento il Garante impone alle aziende alcuni comportamenti da adottare per gestire al meglio questo tipo di figura. Al punto 4, è indicato che per gli AdS vada effettuata una:

  • Valutazione delle caratteristiche soggettive (4.1);
  • Designazione individuale (4.2);
  • Elencazione (4.3);
  • Verifica delle loro attività (4.4);
  • Registrazione degli accessi o access log (4.5).

E’ inoltre richiesto che questi abbiano fornito, prima della loro designazione, “idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”, argomento direttamente trattato anche dagli art. 28 e 32 del GDPR per quanto riguarda i profili relativi alle garanzie e alla sicurezza del trattamento.

 

Cosa fa un Amministratore di Sistema?

In breve, l’Amministratore di Sistema monitora in maniera costante lo stato di sicurezza di tutti i processi di elaborazione mantenendo aggiornati i supporti hardware e software.

E’ compito dell’Amministratore di Sistema informare il Titolare circa le attività da attuare al fine di garantire un adeguato livello di sicurezza (in proporzione alla tipologia e alla quantità dei dati personali trattati).

È consigliabile che l’Amministratore di Sistema metta in atto le prescrizioni del Garante Privacy fornite nel suddetto provvedimento oltre ai compiti già affidatogli dal Titolare e sempre e comunque nel pieno rispetto dell’art. 32 del GDPR sulla sicurezza del trattamento dei dati personali.

 

Le eventuali responsabilità dell’AdS (Amministratore di Sistema)

Stando sul piano prettamente tecnico-privacy, per quanto l’AdS nel GDPR non abbia un preciso riferimento normativo, è innegabile che il medesimo sia implicitamente richiamato in considerazione delle sue specifiche competenze tecniche (art. 32).

In caso di designazione incauta o inidonea, l’Ads può andare incontro a delle responsabilità di ordine penale e civile.

L’AdS riveste infatti una funzione in un certo qual modo “strategica”, la scelta spetta senz’altro al Titolare e deve essere orientata nei fatti, da cui evincere le competenze.

Gli AdS così individuati sono concretamente “responsabili” di specifiche fasi lavorative che possono comportare anche e tendenzialmente elevate criticità rispetto alla protezione dei dati.

 

Quali competenze deve avere un Amministratore di Sistema?

Veniamo alle competenze che deve avere un Amministratore di Sistema, le cd skills.

Anzitutto è bene che sia un “informatico” per estrazione, ovvero con forti attitudini maturate e riconosciute sul campo e con una conoscenza approfondita dei sistemi informatici.

Egli dovrà avere alcune caratteristiche precise, tra cui un’abilità spiccata al problem solving e una mente tecnica e organizzata, con attenzione ai dettagli.

La capacità di descrivere le informazioni tecniche in termini di facile comprensione non può mancare, idem per le ottime capacità comunicative.

 

Chi designa un Amministratore di Sistema?

La designazione individuale degli AdS deve essere fatta dalla società che li ha in organico (Titolare o Responsabile del trattamento).

Dal punto di vista privacy, considerata la delicatezza della mansione, la selezione di un AdS da parte del Titolare del trattamento assume un’importanza cruciale.

Si tratta infatti di una scelta importante ai fini della costruzione di un “robusto” perimetro di sicurezza, attorno al patrimonio informativo e non di meno al trattamento di dati.

L’art. 4 del Provvedimento del Garante sopra citato, non a caso, recita che:

«…l’attribuzione delle funzione degli Amministratori di Sistema debba avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato…».

Ne consegue che, specialmente nel settore dei servizi ICT, sarà opportuno fornire: «idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza».

 

Chi nomina gli Amministratori di Sistema?

La nomina deve essere effettuata dal Titolare del trattamentola persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” nei casi in cui il trattamento si caratterizza per finalità ulteriori rispetto a quelle strettamente legate all’ambito amministrativo e/o contabile (art. 4 GDPR) o dal Responsabile del trattamento.

 

Ma come lo si designa?

Per designare gli AdS, sia essi dipendenti del Titolare oppure di una società esterna (Responsabile), è bene sempre individuare persone fisiche alle quali attribuire compiti/funzioni analiticamente elencate, preferibilmente, in un unico documento.

Il Garante impone che l’elenco degli AdS sia disponibile e aggiornato presso il Titolare, da presentarsi in caso di verifica ispettiva.

Qualora, invece, il servizio di AdS sia fornito tramite un contratto di servizi da un soggetto esterno al Titolare, allora tale documento dovrà essere tenuto all’interno dello stabilimento del Titolare o del soggetto esterno.

Nell’ipotesi in cui l’attività dell’AdS riguardi anche “indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori” il Titolare sarà tenuto a fornire giusta informativa ai dipendenti ex art. 13 del GDPR e/o tramite strumenti di comunicazione interna come, per esempio, una circolare interna o tramite intranet.

Ancora, se l’AdS fosse dipendente del Titolare, questo dovrà essere inquadrato anche come “autorizzato al trattamento” ai sensi e per gli effetti di cui all’art. 29 GDPR operando sotto la diretta autorità del Titolare.

Da ultimo, se i servizi di AdS fossero forniti da un soggetto esterno, Titolare dovrà inquadrarlo come Responsabile del trattamento tramite un contratto o altro atto giuridico idoneo come disposto dall’art. 28 del GDPR.

Torna su