La figura dell’amministratore di sistema è rimasta in una zona indefinita tra la precedente e l’attuale normativa  sulla privacy.

Risale al 27 novembre 2008 il Provvedimento del Garante privacy avente ad oggetto “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, poi modificato nel 2009. Questo provvedimento non è recente, eppure risulta quasi del tutto ignorato.

Per questo provvedimento del Garante, come per gli altri, vale la disposizione transitoria e finale del D.L. 101/2018, art. 22, comma 4, per la quale “a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento (GDPR) e con le disposizioni del presente decreto”.

Ma cosa si intende con il termine “Amministratore di Sistema” – AdS? 
Si intende generalmente, “in ambito informatico, una figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di suoi componenti.

A titolo esemplificativo si elencano i possibili compiti propri dell’amministratore di sistema:

– classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali;
– individuare per iscritto il/i soggetto/i incaricato/i della custodia delle password per l’accesso al sistema informativo e vigilare sulla sua/loro attività;
– individuare per iscritto gli altri soggetti, diversi dall’/dagli incaricato/i della custodia delle parole chiave, che possono avere accesso a informazioni che concernono le medesime;
– impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;
– impostare e gestire un sistema di autorizzazione per i soggetti che trattano i dati personali con strumenti elettronici;
– adottare un sistema idoneo alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici; le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo di verifica per cui sono richieste; tali registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, non inferiore a sei mesi;
– assicurare e gestire sistemi di salvataggio e di ripristino dei dati (backup/restore) anche automatici, nonché approntare adeguate misure e/o sistemi software di salvaguardia per la protezione dei dati personali (antivirus, firewallIntrusion Detection System, ecc.);
– impartire a tutti gli autorizzati (Art. 29 GDPR) istruzioni organizzative e tecniche che prevedano le modalità di utilizzo dei sistemi di salvataggio dei dati con frequenza almeno settimanale;
– adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
– organizzare i flussi di rete, la gestione dei supporti di memorizzazione, la manutenzione hardware, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi, quali accesso abusivo al sistema informatico o telematico, frode, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici e telematici;
– predisporre un piano di controlli periodici, da eseguire con cadenza almeno semestrale, atti a verificare l’efficacia delle misure di sicurezza adottate nell’ente/azienda/studio professionale.

Sulla base di queste considerazioni si può affermare che la figura dell’AdS risulta essere attuale e in linea con quanto richiesto dal Regolamento Europeo. Questa figura, infatti, costituisce uno strumento importante sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento. È compito dell’amministratore di sistema monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati di cui sopra, mantenendo aggiornati i supporti hardware e software e, se necessario, comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati.

Come si procede alla nomina un amministratore di sistema? Si prospettano due scenari, che contemplano uno o più soggetti interni o esterni all’organizzazione:

interni all’organizzazione: in questo caso possono essere autorizzati per iscritto allo svolgimento delle mansioni e dei compiti assegnati, che dovranno essere elencati in maniera analitica;
esterni all’organizzazione: in questo caso sarà necessaria la stipula di un atto giuridico con cui  l’Amministratore di Sistema venga nominato responsabile del trattamento (art. 28 GDPR), assegnando le specifiche funzioni ed elencando in maniera analitica tutte le attività che verranno svolte.

            

 

 

 

Per essere sempre aggiornato sugli adempimenti e le scadenze in materia di privacy, amministrazione digitale, trasparenza, anticorruzione, conservazione digitale, iscriviti al canale Actainfo Telegram . 

 

 

ACTAINFOServizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

 

 

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

 

Leggi anche

Tessera sanitaria senza microchip

Tessera sanitaria

In seguito alla crisi mondiale nell’approvvigionamento delle materie prime, che consentono la produzione di microchip, molte aziende stanno facendo i conti con questo problema. Il microchip consente alla tessera sanitaria di poter essere utilizzata per accedere ai servizi online. La mancanza del chip sulla tessera sanitaria comporta che questa non può essere utilizzata come Carta […]

Digitale: c’è molta strada da fare in Italia n. 27 al mondo

Italia al 27° posto nel digitale dopo Belgio e Polonia. E’ quanto emerge dalla classifica stilata da Surfshark, società specializzata in virtual private network – VPN. L’analisi è stata effettuata su 110 Paesi, rappresentativi del 90% della popolazione mondiale.

Siti e servizi comunali a misura di cittadino grazie al modello aggiornato di Designers Italia

PA26 Annuncia la prima versione delle risorse operative a norma del PNRR Come previsto dalla misura 1.4.1. del PNRR, il team di Designers Italia ha affrontato l’aggiornamento delle risorse operative messe a disposizione dei Comuni italiani per realizzare o aggiornare il proprio sito web e i servizi digitali. Con l’aggiornamento del modello disponibile sul sito di […]