Il Regolamento europeo (GDPR) non prevede espressamente la figura dell'amministratore di sistema, la cui definizione si riscontra, invece, nei provvedimenti del Garante italiano.
Il Garante (Provvedimento del 27 novembre 2008 poi modificato il 26 giugno 2009) definisce l'"amministratore di sistema" (AdS), in ambito informatico, la figura professionale finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
L'amministratore di sistema era originariamente previsto nel Codice del 2003, poi rimosso ma recuperato dal provvedimento dei Garante del 2008. Nel nuovo Regolamento europeo sulla protezione dei dati personali non c'è un riferimento a tale figura, tuttavia al titolare del trattamento (e all'eventuale responsabile) spetta (art. 32) il compito di mettere in atto le misure tecniche adeguate per garantire la sicurezza dei dati (adeguata al rischio). In tale ottica molti commentatori ritengono che la figura dell'amministratore di sistema sia implicitamente richiamata, mentre altri fanno rientrare tale figura nell'ambito degli autorizzati al trattamento (ovviamente sarà un autorizzato con istruzioni specifiche per il suo ruolo). L’art. 29 del GDPR, infatti, prescrive che “chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento, che abbia accesso a dati personali”, non può trattarli “se non è istruito in tal senso dal titolare del trattamento". Per cui l'amministratore di sistema è un soggetto che agisce sotto l'autorità del titolare (o del responsabile) in base alle istruzioni ricevute.
L’amministratore di sistema è un ruolo operativo, essenziale per la sicurezza dei sistemi informatici e telematici e delle banche dati, e quindi con specifiche competenze tecniche, al quale è affidato il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in base alle istruzioni ricevute) all'accesso ai sistemi (ad es. registrazione degli accessi logici degli autorizzati, accessi logici separati, ecc...), oltre al compito di vigilare sull'utilizzo dei sistemi. Nel suo ruolo evidentemente l'amministratore di sistema è il soggetto principale con riferimento alle problematiche dei data breach. Nel caso in cui tale ruolo sia esternalizzato l'amministratore di sistema sarà un responsabile del trattamento.
A seconda della complessità organizzativa dell'azienda il Titolare potrebbe dover nominare uno o più amministratori di sistema, indicando specificamente gli ambiti di operatività. Gli adempimenti connessi all'individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possono essere effettuati anche dai responsabili del trattamento, al fine di rendere più agevole il compito dei Titolari in caso di aziende nelle quali i servizi informatici sono delegati a società esterne.
Registrazione Access Log
Il provvedimento del Garante prevede l'obbligo di registrazione degli accessi logici (access log) degli AdS (sia server che client). Le registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste, devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Non si prevedono particolari strumenti, in genere la mera registrazione degli accessi è sufficiente, fermo restando la valutazione del Titolare in merito alla eventuale necessità di strumenti più sofisticati per garantire misure di sicurezza adeguate. Ovviamente l'obbligo riguarda i sistemi e non invece gli applicativi. Se il ruolo è svolto direttamente dal Titolare tale obbligo decade.
Per access log si intende la registrazione degli eventi di login, logout, errore, ecc..., nelle fasi di connessione a sistemi di elaborazione o a sistemi software. Non è richiesto il tracciamento delle attività degli AdS, proprio perché la finalità di tali registrazioni è di verificare le anomalie nella frequenza degli accessi e nelle loro modalità. Il requisito dell’inalterabilità dei log può essere soddisfatto con la strumentazione software in dotazione (ad esempio in ambiente Microsoft con gli Event Viewer dei server di dominio, esportando i log per conservarli almeno per 6 mesi).
Nell'access log vanno inserite anche le autenticazioni nei data base management systems (DBMS).
Amministratori di sistema e protezione dei lavoratori
Il provvedimento del Garante stabilisce altresì che nel caso in cui l'attività degli amministratori di sistema riguardi sistemi che trattano informazioni di carattere personale di lavoratori, i titolari (pubblici e privati) devono rendere conoscibile l'identità degli amministratori di sistema nell'ambito dell'organizzazione. Ad esempio inserendo i nominativi nelle informative rivolte ai dipendenti, oppure tramite altri strumenti di comunicazione interna (es. intranet aziendale, circolari, ecc...). Ovviamente salvi i casi in cui tale forma di trasparenza sia in contrasto con previsioni specifiche di settore.
Lo Statuto dei lavoratori (L. 300/1970 modificata dal D.lgs. n. 151/2015), infatti, prevede che le informazioni raccolte in relazione a trattamenti che implicano il controllo dei lavoratori, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.