Il ruolo della figura dell’amministratore di sistema è un tema di primaria importanza nell’ottica del rispetto dell’attuale normativa Privacy composta dal Regolamento generale sulla protezione dei dati (GDPR) e dal decreto legislativo 30 giugno 2003 n. 196 recante il “Codice in materia di protezione dei dati personali” come novellato dal decreto legislativo n. 101 del 10 agosto 2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR”.
Chi è l’amministratore di sistema e chi deve nominarlo
L’inquadramento di questo soggetto è fornito direttamente dal Garante tramite il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008”, aggiornato a seguito delle modifiche introdotte il 25 giugno 2009, nel quale l’amministratore di sistema viene definito come quella figura professionale che ha il compito di gestire ed effettuare la manutenzione di un impianto di elaborazione o delle sue componenti. Il Garante fa rientrare in questa definizione, poiché i rischi relativi alla protezione dei dati sono praticamente gli stessi, gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Gli Amministratori di Sistema così individuati sono “concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati”.
La nomina deve essere effettuata dal Titolare del trattamento che alla luce dell’articolo 4 del GDPR è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” nei casi in cui il trattamento si caratterizza per finalità ulteriori rispetto a quelle strettamente legate all’ambito amministrativo e/o contabile.
Chi può ricoprire il ruolo di amministratore di sistema e come si designa
Il Garante prescrive che questo ruolo debba essere ricoperto soltanto da soggetti fisici o giuridici che preventivamente siano stati valutati in base alla loro esperienza, capacità e affidabilità e che abbiano fornito, prima della loro designazione, “idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”, argomento direttamente trattato anche dagli art. 28 e 32 del GDPR per quanto riguarda i profili relativi alle garanzie e alla sicurezza del trattamento.
In ogni caso, la designazione quale amministratore di sistema, sia dipendente del Titolare oppure di una società esterna, deve sempre essere accompagnata dall’individuazione di una persona fisica con annessa elencazione analitica delle funzioni ad esso attribuite, possibilmente, in un unico documento.
Il Garante impone, nel caso di designazione di una persona fisica dipendente del Titolare, che questo documento debba essere disponibile e aggiornato presso il Titolare stesso per poi essere presentato in caso di verifica ispettiva da parte del Garante. Invece, nel caso in cui l’amministratore di sistema sia fornito tramite un contratto di servizi da un soggetto esterno al Titolare, questo documento deve essere presente all’interno dello stabilimento del Titolare o del soggetto esterno.
Nell’ipotesi in cui l’attività dell’amministratore di sistema riguardi anche “indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori” il Titolare deve assolutamente fornire conoscenza ai dipendenti stessi dell’identità dell’amministratore di sistema. È ritenuto idoneo presentare questa informazione tramite l’informativa da rendere ai dipendenti alla luce dell’art. 13 del GDPR e/o tramite strumenti di comunicazione interna come per esempio una circolare interna o l’intranet.
Per quanto riguarda la designazione, se esso è dipendente del Titolare allora dovrà essere inquadrato anche come autorizzato al trattamento come indicato dall’art. 29 GDPR poiché egli opera sotto la diretta autorità del Titolare stesso.
Invece, quando questo ruolo è ricoperto da un soggetto esterno, il Titolare dovrà inquadrarlo come Responsabile esterno del trattamento tramite un contratto o altro atto giuridico idoneo come disposto dall’art. 28 del GDPR.
Di cosa si occupa l’amministratore di sistema e verifica della sua attività
È consigliabile che l’amministratore di sistema metta in atto le prescrizioni del Garante fornite nel suddetto provvedimento oltre ai compiti già affidatogli dal Titolare e sempre e comunque nel pieno rispetto dell’art. 32 del GDPR sulla sicurezza del trattamento dei dati personali. È necessario presentare questi compiti sotto forma di istruzioni predisposte dal Titolare stesso ed è consigliabile implementare almeno questo elenco:
- un sistema di registrazione degli accessi, tramite username e password, ai sistemi informatici e agli archivi elettronici. Nel caso in cui vengano trattati dati personali comuni è buona norma aggiornare la password ogni 6 mesi, mentre nel caso si trattino dati personali particolari (ex art. 9 GDPR, ex dati personali sensibili), come per esempio quelli relativi alla salute, è buona norma aggiornare la password ogni 3 mesi;
- le password devono essere composte da almeno 8 caratteri, di cui una lettera maiuscola, una lettera minuscola, un carattere speciale o di punteggiatura e deve essere proibito l’utilizzo di password già precedentemente usate e di password che possano riferirsi, anche indirettamente, all’utilizzatore;
- un sistema di access log con caratteristiche di “completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste”. Inoltre, queste “registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a 6 mesi”;
- una procedura di business continuity e disaster recovery con annesso collaudo dei backup e test di verifica della procedura stessa. I backup dovranno essere eseguiti almeno una volta a settimana;
- pseudonimizzazione e/o cifratura dei dati personali;
- “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”;
- “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Inoltre, nel caso in cui la designazione ad amministratore di sistema ricada su un soggetto esterno, lo stesso dovrà essere nominato Responsabile esterno del trattamento e dovrà garantire il rispetto delle disposizioni di cui all’art. 28 GDPR, tra cui:
- attenersi alle istruzioni impartite dal Titolare;
- garantire “che le persone autorizzate al trattamento dei dati personali siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza”;
- assistere il Titolare al fine di soddisfare l’esercizio dei diritti degli interessati;
- prestare assistenza al Titolare in caso di violazione di dati personali;
- cancellare o restituire tutti i dati personali in caso di risoluzione del rapporto;
- assistere il Titolare nell’eventuale valutazione d’impatto sulla protezione dei dati personali e nell’eventuale consultazione preventiva al Garante.
È importante sottolineare, infine, che l’operato dell’amministratore di sistema e le istruzioni ad esso impartite debbano essere sottoposte a verifica da parte del Titolare con cadenza almeno annuale.
L’amministratore di sistema nel Codice penale
A causa della delicatezza del ruolo di amministratore di sistema il Legislatore ha previsto specifiche circostanze aggravanti per i reati commessi dalle persone che ricoprono questa funzione:
- accesso abusivo ad un sistema informatico o telematico (art. 615 ter Codice penale);
- danneggiamento di sistemi informatici e telematici (art. 635 bis Codice penale);
- danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635 ter Codice penale);
- danneggiamento di sistemi informatici o telematici (art. 635 quater Codice penale);
- danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies Codice penale);
- frode informatica (art. 640 ter Codice penale).
