Amministratore di sistema: chi è, che fa e come va nominato alla luce del GDPR

L’amministratore di sistema, pur non essendo esplicitamente richiamato nel GDPR, ha una considerevole responsabilità sui dati aziendali e riveste un ruolo particolare sul piano operativo all’interno dell’azienda. Quali sono le prerogative e le funzioni di questa figura e gli obblighi previsti dal Garante Privacy


L’amministratore di sistema è una figura professionale che approfondisce e estende le competenze di un tecnico hardware e software soprattutto per quanto riguarda le caratteristiche delle architetture informatiche e, in particolare, l’utilizzo, la condivisione e la protezione di grandi quantità di dati attraverso le reti di comunicazione.

Si occupa quindi essenzialmente di ogni tipo di rete informatica, comprese quelle a cui non si accede via web, come le reti intranet e implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti, curando interventi di conservazione dei dati attraverso debite soluzioni di “backup” e progettando le attività di supporto al “disaster recovery”.

Alle competenze tecniche proprie di un amministratore di rete, l’amministratore di sistema deve saper aggiungere competenze specifiche normative e di network management di alto livello. In particolar modo deve a nostro avviso padroneggiare diversi aspetti, che riassumiamo nell’elenco qui di seguito:

LA NORMATIVA PRIVACY

  • La Normativa Privacy Europea per gli Amministratori di Sistema
  • Regolamento Europeo Privacy ​
  • Il Codice Privacy
  • La Privacy nel Settore delle Comunicazioni Elettroniche
  • I Reati Informatici Riferibili all’Amministratore di Sistema
  • Il Bilanciamento dei Diritti
  • I Tipi di Dati Personali e di Trattamenti
  • Le Figure Privacy Coinvolte
  • Il Ruolo dell’Amministratore di Sistema 
  • La Valutazione dell’Impatto sulla Protezione dei Dati Personali
  • La Richiesta di Analisi Preliminare del Garante Privacy
  • Il Registro delle Attività di Trattamento
  • Gli Adempimenti Periodici
  • Le Sanzioni Amministrative e Penali

ANALISI DEI RISCHI PRIVACY

  • L’Analisi del Rischio di Distruzione e Perdita dei dati
  • L’Analisi del Rischio di Accesso non Autorizzato
  • L’Analisi del Rischio di Trattamento non Consentito
  • L’Analisi del Rischio di Trattamento non Conforme alle Finalità

LE MISURE DI SICUREZZA PRIVACY

  • Il Sistema di Autenticazione Informatica
  • Il Sistema di Gestione delle Credenziali di Autenticazione
  • Il Sistema di Autorizzazione
  • Le Procedure di utilizzo degli strumenti elettronici
  • Le Procedure di utilizzo di Internet e Posta Elettronica
  • Le Procedure di utilizzo dei supporti removibili
  • I Sistemi Anti-intrusione
  • I Sistemi Anti-virus
  • I Sistemi di Back up (Salvataggio dei Dati)
  • I Sistemi di Disaster Recovery (Ripristino dei Dati)

I PROVVEDIMENTI GENERALI DEL GARANTE PRIVACY

  • Provvedimento Privacy Amministratore di Sistema
  • Provvedimento Privacy Data Breach
  • Provvedimento Privacy Posta Elettronica e Internet
  • Provvedimento Privacy di Cloud Computing
  • Provvedimento Privacy Videosorveglianza
  • Provvedimento Privacy Smaltimento delle Apparecchiature Elettroniche
  • Provvedimento Privacy Fidelity Card
  • Provvedimento Privacy Rfid

A titolo esemplificativo (non totalmente esaustivo), ecco i compiti che possono essere affidati all’amministratore di sistema:

  • classificare analiticamente le banche dati e sviluppare/impostare politiche di sicurezza a tutela dei dati personali comuni e particolari;
  • individuare per iscritto chi è incaricato della custodia delle credenziali per l’accesso al sistema informatico e vigilare sulla loro attività;
  • impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;
  • adottare un sistema idoneo alla registrazione degli accessi logici;
  • assicurare e gestire sistemi di salvataggio e ripristino dei dati (backup e recovery) anche automatici, nonché approntare adeguate misure e sistemi software di salvaguardia per la protezione dei dati personali (come gli antivirus);
  • impartire a tutti gli incaricati istruzioni organizzative e tecniche, che prevedano le modalità di utilizzo dei sistemi di salvataggio dei dati;
  • adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
  • predisporre un piano di controlli periodici per verificare l’efficacia delle misure di sicurezza

Chi è l’amministratore di sistema

In assenza di definizioni normative e tecniche condivise, l’amministratore di sistema viene definito nel Provvedimento del Garante del 27 novembre 2008 come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali

Dunque, l’amministratore di sistema durante l’espletamento dei suoi incarichi, pur se meramente tecnici, ha un considerevole impatto di responsabilità sui dati aziendali e riveste sul piano operativo un ruolo particolare ed una certa professionalità all’interno dell’azienda.

L’amministratore di sistema nel GDPR

Nel nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) non sembra ci sia un chiaro riferimento alla figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati, pur trattandosi di una figura implicitamente richiamata, in alcune norme, per le sue specifiche competenze tecniche, laddove al titolare del trattamento e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento). In questo ambito non si parla di quali siano le “misure adeguate” ma sicuramente sono superiori a quelle misure minime di sicurezza a cui si faceva riferimento nell’allegato B del codice del 2003 e cioè credenziali di autorizzazione, aggiornamenti software e via discorrendo.

L’art. 32 del Regolamento descrive delle procedure altamente tecniche – quali la cifratura dei dati personali, il loro tempestivo ripristino in caso di incidenti fisici o tecnici e le verifiche periodiche delle misure tecniche ed organizzative adottate – che sicuramente lasciano intravvedere una necessaria partecipazione di personale specialistico esperto nella gestione e nella trattazione informatica dei dati personali, così come la necessità di un suo intervento tecnico sin dalle fasi di progettazione e protezione dei dati – la cosiddetta privacy by design e privacy by default – di cui all’art. 25 del medesimo Regolamento UE.

L’art. 32, par. 1, del Regolamento prevede espressamente che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il legislatore europeo dispone poi un nucleo minimo di misure che rispondono a criteri di sicurezza predefiniti. Tra esse comprende:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

L’art. 32 chiarisce inoltre sin dall’inizio il ruolo del Titolare del trattamento e del Responsabile del trattamento chiamati a mettere in pratica le misure di sicurezza valutandone, in via preventiva, ma anche successiva, all’instaurazione del trattamento, l’adeguatezza nel rispetto comunque di quei livelli predefiniti dal legislatore.

La valutazione d’impatto sulla protezione dei dati

Nella gestione e nell’organizzazione delle risorse associate ai trattamenti posti in essere, la valutazione d’impatto sulla protezione dei dati diventa quindi un passaggio fondamentale, tanto che il Regolamento si spinge a proceduralizzarne l’obbligo soprattutto nei casi in cui i trattamenti medesimi si presentino particolarmente pericolosi per i diritti e le libertà degli interessati o il rischio che ne derivi sia particolarmente elevato (artt. 35 e 36 del Regolamento).

In sostanza diventa una buona prassi per il Titolare del trattamento l’analisi dei rischi e la valutazione di impatto per la sicurezza dei dati sia all’atto in cui il trattamento viene posto in essere, sia nel suo svolgimento che, addirittura, alla sua cessazione; e questi deve essere in grado di dimostrare, in primis all’Autorità di controllo, che le misure organizzative adottate siano conformi alle prescrizioni del Regolamento così come le misure di sicurezza, che devono rimanere efficaci e adeguate per tutta la durata del trattamento.

Il Regolamento riconosce la necessità di puntare all’adeguatezza delle misure organizzative e tecniche cui far corrispondere un livello altrettanto adeguato di sicurezza dei dati personali, avallando il principio di responsabilizzazione.

L’art. 29 del Regolamento prescrive, in modo non del tutto esauriente, che “chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento, che abbia accesso a dati personali”, non può trattarli “se non è istruito in tal senso dal titolare del trattamento…”.

Pertanto con il Regolamento le sorti dell’organizzazione sono lasciate al Titolare ed al Responsabile del trattamento e, laddove obbligatoriamente previsto, al Responsabile della protezione dei dati personali intorno ai quali ruota il sistema di processi, procedure e prassi che il Regolamento consolida anche prevedendo obblighi specifici ed espressamente sanzionati.

Le funzioni dell’amministratore di sistema

In tale scenario, sicuramente l’amministratore di sistema riveste sul piano operativo una certa professionalità ed un ruolo rilevante all’interno dell’azienda: rappresenta una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; è un esperto chiamato a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali; a lui viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione. E’ evidente che si tratti di personale tecnico qualificato a se stante che non potrà neanche coincidere con analoghe figure di controllo quale il Data Protection Officer che svolge autonome attività di audit nell’ambito della sicurezza informatica.

Oltre ad essere la prima persona che dovrebbe rendersi conto di un eventuale violazione o perdita dei dati, accidentale od intenzionale che sia, è proprio l’amministratore di sistema che, con la sua attività quotidiana, svolge routine di sicurezza informatica volte a garanzia della struttura informatica (cosiddetto “data breach”).

La normativa ed i provvedimenti del Garante

L’amministratore di sistema era già previsto agli albori della privacy nella disciplina di protezione dei dati preesistente al Codice del 2003 laddove si definiva “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione” (art. 1, comma 1, lett. c) d.P.R. 318/1999), viste anche le specificità professionali mirate alla protezione dei dati ed alla sicurezza degli stessi.

Dopo la sua scomparsa nel codice del 2003, il Garante per la Protezione dei Dati Personali ha emesso in data 27 novembre 2008 ( e s.m.i. del 25/6/2009) il Provvedimento Generale denominato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema con l’intento di promuovere presso Titolari e pubblico la consapevolezza della delicatezza del ruolo di “amministratore di Sistema“, richiamando in particolar modo l’attenzione sulla necessità di prestare la massima attenzione ai rischi incombenti sui dati personali e alle criticità relative alle misure di sicurezza adottate connesse allo svolgimento di tale attività.

Le ispezioni effettuate dall’Autorità prima di tale provvedimento hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema, evidenziando una preoccupante sottovalutazione dei rischi che possono derivare quando l’attività di questi esperti sia svolta senza il necessario controllo

Con tale provvedimento il Garante Privacy ha inteso, infatti, dare rilievo all’interno del sistema di gestione privacy aziendale, al ruolo di amministratore di sistema evidenziandone l’importanza e imponendo ai Titolari misure di sicurezza di carattere tecnico e organizzativo che prevedono la selezione dei candidati sulla base di comprovate capacità tecniche, l’assegnazione ai soggetti individuati di adeguati livelli di responsabilità aziendale e la definizione e implementazione di procedure tecniche di supervisione e controllo sull’operato svolto.

Devono infatti essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

Gli obblighi previsti dal Garante Privacy

Il GDPR non interviene in materia di amministratori di sistema, per cui si potrebbe ritenere che possano continuare sempre a sussistere i seguenti obblighi (cfr. “amministratori di sistema: occorre massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola”, Garante Privacy 14 gennaio 2008):

  • E’ obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
  • I titolari sono tenuti a riportare in un documento interno nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
  • Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer).
  • Il Titolare deve adottare idonei sistemi di controllo che consentano la registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto.
  • Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.

Inoltre vi è una particolare richiesta del Provvedimento che non sempre viene considerata ed espletata dal Titolare.

  • L’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite.

Questo obbligo periodico spesso viene disatteso nonostante costituisca uno dei principi fondanti del Provvedimento. Inoltre, alla luce del principio di “accountability” del nuovo GDPR, questo obbligo risulta rinforzato. Il concetto di “accountability” (responsabilizzazione nella traduzione italiana) non era espressamente contenuto nella Direttiva 95/46/CE, ma era stato parzialmente anticipato dal Gruppo di Lavoro ex art. 29 nel parere n. 3/2010. In base a tale principio, l’art. 5 del GDPR individua nel Titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali; precisamente nell’art.24 è indicato che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità ai principi fondamentali della disciplina in materia.

Da precisare inoltre che il Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli “amministratori di sistema”, recependo alcune indicazioni pervenute, anche da associazioni di categoria, consentendo che gli adempimenti connessi all’individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai titolari, anche dai responsabili del trattamento. Ciò allo scopo di rendere tali obblighi più agevoli per quelle realtà aziendali nelle quali determinati servizi informatici vengano svolti da società esterne (cfr. Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009)

I risvolti “lavoristici” della designazione degli amministratori di sistema

Il provvedimento del Garante ha affrontato anche i risvolti “lavoristici” della designazione degli amministratori di sistema, laddove la loro attività, anche solo indirettamente, possa riguardare servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori; nel qual caso i titolari pubblici e privati, nella qualità di datori di lavoro, vengono chiamati a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al Provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

La cautela si spiega per l’osservanza degli obblighi che incombono sui Titolari in ragione dell’art. 4 dello Statuto dei lavoratori (Legge n. 300/1970), oggi modificato dal D.lgs. n. 151/2015, in merito al controllo a distanza dei lavoratori.

Il comma 3 dell’articolo richiamato, come novellato, prevede che le informazioni raccolte in dipendenza dei trattamenti evidenziati dai primi commi dell’art. 4 dello Statuto dei lavoratori e che implicano un controllo, seppur preterintenzionale, del lavoratore “sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Queste implicazioni vengono prese in considerazione anche dal Regolamento che all’art. 88 riconosce agli Stati membri la possibilità di prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. Tali norme possono includere, per espressa previsione della disposizione in commento, misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda il sistema di monitoraggio sul posto di lavoro.

Pubblicato in dpo, gdpr.