Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Gli incarichi e le norme

L’amministratore di sistema, post GDPR: definizione, ruoli e normativa di riferimento

Il ruolo dell’amministratore di sistema indica figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Tuttavia, si tratta di un incarico non ufficialmente definito nella normativa, situazione che rischia di creare confusione. Facciamo chiarezza

05 Mar 2019
C

Daniele Curto

Consulente ICT

P

Laura Pelliccia

Consulente legal


La figura dell’amministratore di sistema è rimasta un po’ in ombra tra una normativa e l’altra: anche la  stessa definizione del suo ruolo può generare dubbi. A delinearne inizialmente le caratteristiche sono le prime grandi normative di protezione dei dati personali alla fine degli anni Novanta. Viene, però, successivamente tralasciata nel Codice Privacy del 2003, ripresa con i provvedimenti del Garante del 2008 e 2009 e di nuovo ufficialmente non definita, ma di fatto richiamata implicitamente, nel GDPR.

La definizione di amministratore di sistema

Non esiste una definizione univoca di amministratore di sistema (di seguito AdS per praticità). Il Garante in un primo approccio lo identificava in quella figura preposta alle mansioni amministrative e gestionali di reti informatiche, sistemi di sicurezza e database. Pensiamo, ad esempio, alla gestione centralizzata delle utenze (nome utente e password), ai database dei software gestionali o che contengono dati di tipo personale (software ERP, ad esempio) e ai sistemi di sicurezza come i firewall (che arrivano a identificare la navigazione internet o a tracciare le attività di rete provenienti da un determinato client).

Facciamo quindi ordine: il primo grande chiarimento concernente l’amministratore di sistema viene fornito con il provvedimento 2008 del Garante Privacy, secondo il quale: “Con la definizione di amministratore di sistema si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”.

Viene altresì specificato che non rientrano nella figura analizzata quei soggetti che, solo occasionalmente, intervengono per scopi di manutenzione a seguito di guasti o malfunzionamenti sui sistemi di elaborazione o sui sistemi software.

L’amministratore di sistema nel GDPR

Facendo sempre riferimento al provvedimento appena menzionato, veniva attribuito all’amministratore di sistema il ruolo di custode delle componenti riservate delle credenziali di autenticazione, in relazione all’Allegato B del Codice Privacy, altresì denominato “Disciplinare tecnico in materia di misure minime di sicurezza”. Successivamente, questo documento è stato abrogato e sostituito dai concetti presenti all’interno del nuovo Regolamento Europeo EU 2016/679 (il GDPR), in particolar modo, a titolo meramente esemplificativo:

Il GDPR si basa sull’analisi della realtà lavorativa (workflow) in cui lo stesso si va ad applicare, creando di volta in volta i requisiti necessari vagliati dal titolare e dal responsabile del trattamento, chiamati in causa per assicurare un livello di protezione dei dati adeguato alla natura del trattamento. Novità, questa, introdotta dal Regolamento Europeo rispetto al vecchio Codice Privacy, che ne stravolge di fatto la prospettiva. Al centro della normativa troviamo non più la sola tutela dei dati degli interessati, ma anche i doveri dei titolari e dei responsabili del trattamento in merito all’adozione di misure di sicurezza che garantiscano la riservatezza dei dati stessi.

Nell’articolo 32 del Regolamento, rubricato “Sicurezza del trattamento”, al punto 1) lett. a), b), c) e d) si fa riferimento ad alcune delle possibili tecniche per la salvaguardia dei dati in formato digitale. Data la complessità di alcune delle stesse, come il backup e ripristino dei dati o le tecniche di rilevazione delle criticità presenti nella rete, si presume che la figura addetta a queste attività abbia esperienza, capacità e affidabilità tipiche dell’amministratore di sistema, come individuato nel provvedimento del Garante nel 2008.

All’interno dello stesso provvedimento il Garante specifica che la persona preposta alla nomina di AdS avrà implicitamente anche quella di responsabile del trattamento, interno o esterno a seconda dei casi. Infatti, nelle premesse, al punto 1), si può leggere che: “Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime“. In definitiva, il provvedimento del Garante del 2008 e il successivo del 2009 non sono stati abrogati dalle modifiche apportate dal D.lgs. 101/2018, come, invece, per altre parti del Codice Privacy.

Come viene nominato l’amministratore di sistema e cosa fa

Veniamo all’atto pratico: come può avvenire la nomina di amministratore di sistema? Innanzitutto, è una nomina a titolo personale il cui operato deve essere oggetto, con cadenza almeno annuale, di verifica da parte dei titolari o dei responsabili del trattamento. In tal modo, può essere controllata la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Si prospettano due scenari, che contemplano uno o più soggetti interni o esterni all’organizzazione:

  • interni all’organizzazione: in questo caso possono essere autorizzati per iscritto allo svolgimento delle mansioni e dei compiti assegnati, che dovranno essere elencati in maniera analitica;
  • esterni all’organizzazione: in questo caso sarà necessaria la stipula di un atto giuridico con cui vengono designati come responsabili del trattamento, assegnando le specifiche funzioni di Amministratore di Sistema ed elencando in maniera analitica tutte le attività che verranno svolte.

A titolo esemplificativo elenchiamo i possibili compiti propri dell’amministratore di sistema:

  • classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali comuni e sensibili, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali;
  • individuare per iscritto il/i soggetto/i incaricato/i della custodia delle parole chiave per l’accesso al sistema informativo e vigilare sulla sua/loro attività;
  • individuare per iscritto gli altri soggetti, diversi dall’/dagli incaricato/i della custodia delle parole chiave, che possono avere accesso a informazioni che concernono le medesime;
  • impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;
  • impostare e gestire un sistema di autorizzazione per gli incaricati dei trattamenti di dati personali effettuati con strumenti elettronici;
  • adottare un sistema idoneo alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici; le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Tali registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, non inferiore a sei mesi;
  • assicurare e gestire sistemi di salvataggio e di ripristino dei dati (backup/recovery) anche automatici, nonché approntare adeguate misure e/o sistemi software di salvaguardia per la protezione dei dati personali (antivirus, firewall, IDS ecc.);
  • impartire a tutti gli incaricati istruzioni organizzative e tecniche che prevedano le modalità di utilizzo dei sistemi di salvataggio dei dati con frequenza almeno settimanale;
  • adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
  • organizzare i flussi di rete, la gestione dei supporti di memorizzazione, la manutenzione hardware, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi, quali accesso abusivo al sistema informatico o telematico, frode, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici e telematici;
  • predisporre un piano di controlli periodici, da eseguire con cadenza almeno semestrale, atti a verificare l’efficacia delle misure di sicurezza adottate in azienda/studio professionale;
  • coadiuvare, se richiesto, il titolare del trattamento nella predisposizione e/o nell’aggiornamento e/o nell’integrazione di tutti i documenti necessari per il rispetto del Regolamento Europeo in materia di privacy.

Sulla base di queste considerazioni possiamo affermare che l’incarico di AdS risulta essere attuale e in linea con quanto richiesto dal Regolamento Europeo. Questa figura, infatti, è uno strumento importante sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento. È compito dell’amministratore di sistema monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati di cui sopra, mantenendo aggiornati i supporti hardware e software e, se necessario, comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5