La figura dell’amministratore di sistema è rimasta in una zona indefinita tra la precedente e l’attuale normativa sulla privacy.
Risale al 27 novembre 2008 il Provvedimento del Garante privacy avente ad oggetto “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, poi modificato nel 2009. Questo provvedimento non è recente, eppure risulta quasi del tutto ignorato.
Per questo provvedimento del Garante, come per gli altri, vale la disposizione transitoria e finale del D.L. 101/2018, art. 22, comma 4, per la quale “a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento (GDPR) e con le disposizioni del presente decreto”.
Ma cosa si intende con il termine “Amministratore di Sistema” – AdS?
Si intende generalmente, “in ambito informatico, una figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di suoi componenti.
A titolo esemplificativo si elencano i possibili compiti propri dell’amministratore di sistema:
– classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali;
– individuare per iscritto il/i soggetto/i incaricato/i della custodia delle password per l’accesso al sistema informativo e vigilare sulla sua/loro attività;
– individuare per iscritto gli altri soggetti, diversi dall’/dagli incaricato/i della custodia delle parole chiave, che possono avere accesso a informazioni che concernono le medesime;
– impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;
– impostare e gestire un sistema di autorizzazione per i soggetti che trattano i dati personali con strumenti elettronici;
– adottare un sistema idoneo alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici; le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo di verifica per cui sono richieste; tali registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, non inferiore a sei mesi;
– assicurare e gestire sistemi di salvataggio e di ripristino dei dati (backup/restore) anche automatici, nonché approntare adeguate misure e/o sistemi software di salvaguardia per la protezione dei dati personali (antivirus, firewall, Intrusion Detection System, ecc.);
– impartire a tutti gli autorizzati (Art. 29 GDPR) istruzioni organizzative e tecniche che prevedano le modalità di utilizzo dei sistemi di salvataggio dei dati con frequenza almeno settimanale;
– adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
– organizzare i flussi di rete, la gestione dei supporti di memorizzazione, la manutenzione hardware, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi, quali accesso abusivo al sistema informatico o telematico, frode, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici e telematici;
– predisporre un piano di controlli periodici, da eseguire con cadenza almeno semestrale, atti a verificare l’efficacia delle misure di sicurezza adottate nell’ente/azienda/studio professionale.
Sulla base di queste considerazioni si può affermare che la figura dell’AdS risulta essere attuale e in linea con quanto richiesto dal Regolamento Europeo. Questa figura, infatti, costituisce uno strumento importante sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento. È compito dell’amministratore di sistema monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati di cui sopra, mantenendo aggiornati i supporti hardware e software e, se necessario, comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati.
Come si procede alla nomina un amministratore di sistema? Si prospettano due scenari, che contemplano uno o più soggetti interni o esterni all’organizzazione:
– interni all’organizzazione: in questo caso possono essere autorizzati per iscritto allo svolgimento delle mansioni e dei compiti assegnati, che dovranno essere elencati in maniera analitica;
– esterni all’organizzazione: in questo caso sarà necessaria la stipula di un atto giuridico con cui l’Amministratore di Sistema venga nominato responsabile del trattamento (art. 28 GDPR), assegnando le specifiche funzioni ed elencando in maniera analitica tutte le attività che verranno svolte.
