L’amministratore di sistema, pur non godendo di una esplicita menzione nel GDPR, svolge una funzione fondamentale sul piano operativo all’interno della azienda nell’ambito della tutela del dato personale. Analizziamo quindi questa peculiare figura alla luce degli obblighi prescritti dal Garante privacy.
L’amministratore di sistema, (o tecnico sistemista di rete o semplicemente “sistemista”), é colui che si occupa di gestire e manutenere il sistema informatico di un’impresa.
In ambito privacy, vengono considerati amministratori di sistema anche coloro che gestiscono banche dati, reti informatiche, apparati di sicurezza o software complessi.
E’ quindi una figura professionale specialistica che assume un ruolo determinante nella tutela dei dati personali, principalmente nel contesto aziendale, tuttavia non riceve una sua collocazione a livello codicistico.
Il Provvedimento più “recente” con il quale l’Autorità Garante per la protezione dei dati personali ha “riesumato” la figura dell’amministratore di sistema – in origine prevista solo in epoca anteriore rispetto al Codice Privacy del 2003 – è del 27 movembre 2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”).
In particolare, l’art. 1, comma 1, lett. c) d.P.R. 318/1999 definiva l’amministratore di sistema come il “soggetto al quale è conferito il compito di sovraintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”, anche in considerazione delle specificità professionali mirate alla protezione dei dati ed alla sicurezza degli stessi.
Il provvedimento del 2008, che sopravvive anche alle modifiche apportate al Codice privacy dal D.Lgs 101/2018, individua nell’amministratore di sistema “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”
La funzione dell’amministratore è quindi quella di garantire il regolare funzionamento dell’infrastruttura tecnologica aziendale ed il corretto utilizzo della stessa da parte degli utenti interni ed esterni all’organizzazione.
Il Garante, nel provvedimento appena citato, prescrive che il titolare del trattamento nomini un amministratore di sistema tenendo in considerazione i seguenti fattori:
- Valutazione delle caratteristiche soggettive: il soggetto designato deve possedere le caratteristiche di esperienza, capacità ed affidabilità.
- Designazioni individuali: il titolare nomina individualmente l’amministratore di sistema, indicando analiticamente gli ambiti di operatività.
- Elenco degli amministratori di sistema: nel contesto organizzativo dell’impresa deve essere redatto e conservato un documento interno che individui gli estremi identificativi degli amministratori di sistema (quali persone fisiche) che specifichi altresì le funzioni attribuite.
- Servizi di outsourcing: il punto precedente si applica anche nel caso in cui l’amministrazione di sistema sia affidata ad un soggetto estraneo all’azienda.
- Verifica delle attività: l’attività realizzata dall’AdS deve essere monitorata almeno annualmente dal titolare, al fine di verificare la sua rispondenza alle misure organizzare, tecniche e di sicurezza previste dalla normativa.
- Registrazione degli accessi: gli accessi effettuati dagli amministratori ai sistemi di elaborazione e agli archivi elettronici devono essere registrati e devono essere conservati minimo per 6 mesi.
Ciò detto, sebbene nel Regolamento UE 2016/679 non sembra esserci una chiara definizione di amministratore di sistema, è ragionevole ritenere che di tale figura permanga la necessità.
Difatti, dalla lettura dell’intero impianto normativo – in particolare con riguardo alle misure di sicurezza, al principio di accountability, alla valutazione di impatto ed ai concetti di privacy by design e privacy by default – emerge chiaramente la necessità che i soggetti coinvolti nell’ambito del trattamento dei dati personali godano di una specifica preparazione.
Pertanto il titolare potrà (é dunque una facoltà) nominare un amministratore di sistema tra i suoi dipendenti tramite lettera di incarico (ex art. 29 GDPR) o in caso di soggetto esterno all’azienda tramite contratto o atto di nomina a responsabile ai sensi dell’art. 28 GDPR.
L’AdS si occuperà innanzitutto della gestione del sistema informatico nel quale risiedono le banche dati personali, predisponendo ed aggiornando periodicamente un sistema di sicurezza informatico idoneo a rispettare la normativa a protezione dei dati personali.
In seconda battuta l’amministratore di sistema verifica la corretta predisposizione ed esecuzione delle misure di sicurezza cd. tecniche, inclusi i backup dei dati, e definisce le modalità di accesso al sistema.
Infine, l’AdS deve attuare le prescrizioni impartite dal Garante in collaborazione con il titolare ed in ogni caso comunicare a quest’ultimo qualsiasi anomalia si verifichi nel sistema che possa compromettere la tutela del dati, compresi eventuali data breach.
In conclusione, l’amministratore di sistema durante l’espletamento delle sue funzioni, prettamente tecniche, ha una considerevole responsabilità sui dati aziendali ed è per tale ragioni che deve possedere una certa professionalità e determinate competenze all’interno dell’azienda.
VP
