Amministratori di sistema, tra provvedimento del Garante e GDPR: una corretta lettura normativa

Con il GDPR e il precedente Codice privacy, una delle questioni che più hanno attratto l’attenzione di esperti e titolari del trattamento, e richiamata in diversi interventi dello stesso Garante privacy, è quella della disciplina dell’amministratore di sistema.

Nell’era dell’economia digitale e dell’intelligenza artificiale, in cui i dati sono una risorsa preziosa e quelli personali ancor di più, gli amministratori di sistema rappresentano uno snodo cruciale nei processi di protezione e sfruttamento in sicurezza, by design e by default, delle informazioni sensibili.

In questa sede, dopo una presentazione di tale figura e di alcuni punti problematici, si prospetta l’opportunità di un intervento volto ad attualizzare le previsioni sul regime degli amministratori di sistema.

Interventi sulla figura dell’amministratore di sistema

Il DPR 318/1999 sulle (ormai abrogate) misure minime di sicurezza per il trattamento dei dati personali fornì una prima definizione degli “amministratori di sistema”: soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione.

Successivamente, è intervenuto il Codice privacy (pre-GDPR) che, pur non menzionando tale figura, nell’allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” conteneva una serie di previsioni afferenti a tale ruolo.

Infatti, il Garante nel provvedimento del 27 novembre 2008 (doc. web n. 1577499, aggiornato nel 2009) dedicato agli amministratori di sistema riportava che: “Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all’amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali, alla gestione dei sistemi di autenticazione e di autorizzazione”.

Tale Provvedimento è tuttora vigente atteso che:

1. sotto il profilo normativo l’art. 22.4 del D.lgs. 101/2018 di aggiornamento del Codice privacy al GDPR ha previsto che: “A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto”;
2. sotto il profilo fattuale lo stesso è stato richiamato dal Garante in era GDPR, come nel provvedimento doc web 9121890 del 7 marzo 2019 ove, fra l’altro, si afferma: “In particolare, la condivisione delle credenziali dell’utenza di root dei server su cui è installato l’applicativo, rende di fatto inapplicabili diverse prescrizioni contenute nel citato Provvedimento (…) volte a mitigare i rischi connessi allo svolgimento di tali mansioni. Infatti, la particolare criticità del ruolo degli amministratori di sistema deriva non solo dalla capacità di azione di tali soggetti sui dati personali trattati e dalla natura fiduciaria dei relativi compiti, ma anche dalla portata negativa di un’eventuale azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico”.

L’amministratore di sistema nel nuovo contesto tecnologico e normativo

Posta la vigenza del Provvedimento sugli amministratori di sistema, per una disamina del suo allineamento al nuovo contesto tecnologico e normativo, è utile soffermarsi su due aspetti:

• l’articolazione delle previsioni che i titolari devono attuare nei confronti degli amministratori di sistema, così delineate:
  • valutazione delle caratteristiche soggettive ai fini dell’assegnazione dell’incarico (esperienza, capacità e affidabilità del soggetto designato);
  • designazione individuale e analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
  • tenuta di un elenco degli amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante (amministratori da rendere noti ai dipendenti nel caso che i sistemi informativi afferiscano al trattamento di dati personali dei lavoratori; onere da osservare anche nel caso di servizi di amministrazione di sistema affidati in outsourcing);
  • controllo, a cadenza almeno annuale, dell’operato degli amministratori di sistema;
  • adozione di sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, da conservare per un periodo non inferiore a sei mesi. Al riguardo viene specificato che non si chiede di registrare dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema bensì, sostanzialmente, i soli eventi di connessione e disconnessione;
• l’esclusione dall’applicazione del Provvedimento dei trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, in applicazione delle misure di semplificazione introdotte con l’art. 29 del D.L. n. 112/2008 (convertito con legge 133/2008) di modifica dell’art. 34 del Codice privacy (articolo oggi abrogato). Al riguardo, il Garante privacy aveva provveduto alla semplificazione con Provvedimento del 27 novembre 2008 (docweb 1571218 ) prevedendo che: “i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”.

Con riguardo a quanto sopra occorre osservare, in merito al primo punto, che:

1. il monitoraggio sulla concreta attività degli amministratori di sistema è incentrato sui soli momenti di accesso e di disconnessione dal sistema, lasciando inesplorata l’eventuale azione all’interno dei sistemi, ma che
2. il controllo su base almeno annuale appare distonico con la previsione (minima) semestrale di conservazione dei log di almeno sei mesi: rispettando pedissequamente tali tempistiche potrebbe restare fuori della lente del controllo un intero semestre di attività.

Per quanto riguarda il secondo punto, ci potrebbero essere da un lato difficoltà applicative considerando che il gestionale del personale può includere informazioni ad es. sullo stato di disabilità dei dipendenti e già solo quest’aspetto implicherebbe l’esigenza del tracciamento, sebbene nelle forme sopra dette.

Sotto il profilo normativo, poi, andrebbe vagliato se oggi, essendo stata abrogata la norma su cui l’esclusione di alcuni trattamenti è esentata dal tracciamento, non implichi il venir meno della previsione amministrativa del Garante motivata dalla predetta modifica del Codice privacy.

L’amministratore di sistema nell’era GDPR

Calando quanto sopra nell’attuale contesto, va osservato che nella prassi successiva al 25 maggio 2018 il Garante è intervenuto varie volte, fra cui il primo giugno 2020 (doc web 9356568) con riguardo all’app Immuni.

È interessante riportare un brano: “Dall’esame della documentazione emerge che il tracciamento degli accessi dagli amministratori di sistema è limitato alle operazioni di login e logoff, non consentendo così un efficace controllo, a posteriori, delle operazioni eseguite sui dati. Occorre, pertanto, introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati”.

Insomma, nell’era del GDPR l’attività degli amministratori di sistema dovrebbe essere accompagnata da una più ampia azione di supervisione.

Su tale aspetto, le Misure minime di sicurezza per le PA formulate dall’AgID nel 2017 prevedono anche, con riguardo all’Uso appropriato dei privilegi di amministratore “ (tabella Agid Basic Security Control(s) 5), “Registrare le azioni compiute da un’utenza amministrativa e rilevare ogni anomalia di comportamento”, sebbene indicando tale adempimento come misura di livello «Alto» ovvero come un requisito che deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) e a tendere (ma sono passati 7 anni), di miglioramento, da parte di tutte le altre organizzazioni.

A livello di standard, a livello di ISO/IEC 27001 (Information security management systems) e 27002 (sui Security controls) si soffermano sul fatto che” System administrator and system operator activities shall be logged and the logs protected and regularly reviewed”.

L’estensione di tali norma alla privacy, con l’ISO/IEC 27702, prevedono al punto 6.9.4.3 “The control implementation guidance and other informsation stated in ISO/IEC 27002:2013 , 12.4.4 applies.”.

Da ultimo, la recente Practice Guide della CNIL su “ Security Personal Data ” si sofferma su tale aspetto nella sezione “Factsheet 16 – Logging operations”. Più in generale, diverse disposizioni oggi prevedono attività di logging degli accessi a dati personali: se ciò vale per gli operatori non può non valere, ove si verificasse, anche per gli amministratori.

Si pensi, ad esempio, a procedure informatiche che venissero adottate per il whistleblowing: è pensabile che vengano loggati gli addetti alla gestione delle istanze e non anche gli amministratori di sistema che accedano, lecitamente o meno in relazione ai task assegnati, a tali informazioni?

Conclusioni

In sintesi: il ruolo degli amministratori di sistema è rilevante e cruciale per la portata che comporta sulla gestione delle applicazioni e delle basi dati afferenti ai dati personali (e ai dati in generale).

Nella logica del GDPR, appare quindi necessario travalicare il Provvedimento del 2008, per aspetti che possono comportare mismatching con il Regolamento stesso, e procedere con interventi chiarificatori su diversi aspetti:

1. Può essere ritenuta valida l’esclusione dal suo ambito di alcuni trattamenti, alla luce del GDPR e del ciclo di vita delle norme, atteso che questa parte del Provvedimento è dal 2018 orfana della previsione del Codice privacy?
2. In un contesto dove crescente è il ricorso a soluzioni cloud, come deve essere applicata la previsione della conoscibilità per il personale di una organizzazione degli amministratori di sistema per applicativi che trattino i loro dati personali? Ma, anche oggi: tali amministratori esterni devono essere resi noti al personale come è previsto per quelli che operino all’interno dell’organizzazione?
3. L’articolazione minimale dei log da censire (ingresso e uscita dai sistemi) non andrebbe ritenuta oggi (ma forse anche ieri) inidonea a monitorare la liceità dei comportamenti e la ricostruibilità di eventi, anche alla luce dell’art. 32 del GDPR (sicurezza del trattamento)? Ciò anche nella considerazione che (come ricordava il Garante nel 2008) il codice penale prevede una aggravante per alcuni reati – connessi a patologie afferenti interventi sui sistemi informativi – per chi riveste la qualifica specialistica in esame (definita operatore di sistema nel codice penale).

Nell more di una eventuale modifica o lettura innovativa del Provvedimento (come pure emerge nel citato intervento sull’app Immuni del Garante), l’accountability dei titolari, in ottica applicativa delle privacy by design e by default, può già ora operare in tal senso andando oltre la responsabilizzazione verso il territorio della consapevolezza delle finalità del GDPR, della minimizzazione dei rischi di processo e della piena tutela dei diritti degli interessati.

Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove presta servizio.