Soggetti

Shape 5 Live Search

logo

Il GDPR non prevede espressamente la figura dell'amministratore di sistema, la cui definizione si riscontra, invece, nei provvedimenti del Garante italiano.

Il Garante (Provvedimento del 27 novembre 2008) definisce l'"amministratore di sistema" (Ads), in ambito informatico, la figura professionale finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. 

L'amministratore di sistema era originariamente previsto nel Codice del 2003, poi rimosso ma recuperato dal provvedimento dei Garante del 2008. Nel nuovo Regolamento europeo sulla protezione dei dati personali non c'è un riferimento a tale figura, tuttavia al titolare del trattamento (e all'eventuale responsabile) spetta (art. 32) il compito di mettere in atto le misure tecniche adegtuate per garantire la sicurezza dei dati (adeguata al rischio). In tale ottica molti commentatori ritengono che la figura dell'amministratore di sistema sia implicitamente richiamata, mentre altri fanno rientrare tale figura nell'ambito degli autorizzati al trattamento (ovviamente sarà un autorizzato con istruzioni specifiche per il suo ruolo). L’art. 29 del GDPR, infatti, prescrive che “chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento, che abbia accesso a dati personali”, non può trattarli “se non è istruito in tal senso dal titolare del trattamento". Per cui l'amministratore di sistema è un soggetto che agisce sotto l'autorità del titolare (o del responsabile) in base alle istruzioni ricevute. 

L’amministratore di sistema è un ruolo operativo, essenziale per la sicurezza dei sistemi informatici e telematici e delle banche dati, e quindi con specifiche competenze tecniche, al quale è affidato il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in base alle istruzioni ricevute) all'accesso ai sistemi (ad es. registrazione degli accessi logici degli autorizzati, accessi logici separati, ecc...), oltre al compito di vigilare sull'utilizzo dei sistemi. Nel suo ruolo evidentemente l'amministratore di sistema è il soggetto principale con riferimento alle problematiche dei data breach. Nel caso in cui tale ruolo sia esternalizzato l'amministratore di sistema sarà un responsabile del trattamento

A seconda della complessità organizzativa dell'azienda il Titolare potrebbe dover nominare uno o più amministratori di sistema, indicando specificamente gli ambiti di operatività. 

Il provvedimento del Garante prevede l'obbligo di registrazione degli accessi logici degli Ads (sia server che client). Non si prevedono particolari strumenti, in genere la mera registrazione degli accessi è sufficiente, fermo restando la valutazione del Titolare in merito alla eventuale necessità di strumenti più sofisticati per garantire misure di sicurezza adeguate. Ovviamente l'obbligo riguarda i sistemi e non invece gli applicativi. Se il ruolo è svolto direttamente dal Titolare tale obbligo decade. 

 

Amministratori di sistema e protezione dei lavoratori

Il provvedimento del Garante stabilisce altresì che nel caso in cui l'attività degli amministratori di sistema riguardi sistemi che trattano informazioni di carattere personale di lavoratori, i titolari (pubblici e privati) devono rendere conoscibile l'identità degli amministratori di sistema nell'ambito dell'organizzazione. Ad esempio inserendo i nominativi nelle informative rivolte ai dipendenti, oppure tramite altri strumenti di comunicazione interna (es. intranet aziendale, circolari, ecc...). Ovviamente salvi i casi in cui tale forma di trasparenza siano in contrasto con previsioni specifiche di settore. 

Lo Statuto dei lavoratori (L. 300/1970 modificato dal D.lgs. n. 151/2015), infatti, prevede che le informazioni raccolte in relazione a trattamenti che implicano il controllo dei lavoratori, sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.