Amministratore di sistema
L’amministratore di sistema è la figura professionale che si occupa di gestire e manutenere il sistema informatico di un’impresa. Ai fini della normativa privacy, vengono considerati amministratori di sistema anche coloro che gestiscono banche dati, reti informatiche, apparati di sicurezza o software complessi.
Non deve stupire il fatto che la figura dell’amministratore di sistema sia centrale per la tutela della privacy. Infatti, questo soggetto ha un accesso privilegiato a tutti i dati personali trattati dall’impresa. L’amministratore di sistema si occupa inoltre delle misure di sicurezza, quali back-up, disaster ricovery, installazione ed aggiornamento di antivirus e firewall, gestione delle credenziali e dei sistemi di autenticazione ed autorizzazione.
Per questi motivi, un imprenditore deve scegliere con estrema cura l’amministratore di sistema ed applicare una serie di cautele affinché la sua attività sia controllata. Il Garante per la protezione dei dati personali si è occupato del ruolo dell’amministratore di sistema nel provvedimento del 27 Novembre 2008, modificato il 25 Giugno 2009.
Quando si ha un amministratore di sistema?
L’amministratore di sistema può essere un soggetto sia interno all’azienda, che esterno.
Le società più strutturate che si avvalgono di sistemi informatici complessi spesso hanno fra il loro personale un responsabile IT. Diversamente, piccole e medie imprese si rivolgono più spesso a tecnici esterni per manutenere i propri sistemi informatici.
Non tutti i tecnici informatici sono però amministratori di sistema. Non rientrano in questa definizione quei soggetti che solo occasionalmente operano su un sistema informatico per manutenzione oppure per risolvere un guasto. Diversamente, possono essere amministratori di sistema coloro che sono in grado di accedere in ogni momento, anche da remoto, ad un sistema informatico. Anche in questi casi, la nomina come amministratore di sistema non è una conseguenza automatica. Essa deve essere valutata caso per caso a seconda dei compiti e delle autorizzazioni attribuite.
La nomina di un amministratore di sistema può infatti essere evitata per quelle imprese che si limitano a trattare dati personali comuni per ordinarie finalità amministrativo-contabili. In sostanza, non ne hanno bisogno le imprese che non trattano dati sensibili, giudiziari o di traffico telefonico ma si limitano a trattamenti ordinari ed a basso rischio, quali la gestione della contabilità, dei dipendenti, acquisto di materiali di consumo, gestione del parco auto etc.
Obblighi con riferimento agli amministratori di sistema
L’imprenditore che decida di nominare un amministratore di sistema ha innanzi tutto l’obbligo di valutarne preventivamente l’esperienza, la capacità e l’affidabilità. Il ruolo deve inoltre essere affidato ad una persona ben individuata e non ad una società, i cui riferimenti devono essere riportati in un documento interno da mostrare al Garante in caso di sopralluogo. Qualora l’amministratore di sistema tratti anche i dati personali dei dipendenti di una società, questi ultimi devono essere messi a conoscenza della sua identità.
L’attività dell’amministratore di sistema deve essere verificata con cadenza almeno annuale dal titolare del trattamento. Affinché ciò sia possibile, i suoi accessi al sistema informatico (access log) devono essere registrati e conservati per almeno sei mesi. Le registrazioni devono essere complete, inalterabili e verificabili.
Verifica dell’attività dell’amministratore di sistema
La verifica annuale dell’attività dell’amministratore di sistema si esaurisce sostanzialmente nel controllo degli access log. Gli eventi generati dai sistemi di autenticazione devono contenere l’username utilizzato, data, ora e luogo dell’accesso, descrizione dell’evento (software e dispositivo usati, errori, se si tratta di logs-in o logs-out etc.). I sistemi più complessi permettono altresì di registrare le azioni eseguite sui dati. In base al principio di accountability, divenuto centrale con il GDPR, l’imprenditore dovrà verificare le attività dell’amministratore di sistema con un livello di profondità commisurato al rischio.
La contrattualizzazione dell’amministratore di sistema
Quando l’amministratore di sistema è un dipendente della società, egli non sarà altro che un incaricato del trattamento dotato di particolari autorizzazioni. Sebbene la nomina scritta degli incaricati del trattamento non sia obbligatoria per il GDPR, essa è fortemente consigliata in considerazione del principio dell’accountability, nonché tuttora richiesta da numerosi provvedimenti del Garante.
Diversamente, quando il ruolo di amministratore di sistema viene affidato in outsourcing ad un soggetto esterno, questo dovrà considerarsi altresì un responsabile del trattamento. In considerazione di ciò, il titolare dovrà vincolare l’amministratore di sistema con un contratto scritto, contenente tutti i requisiti richiesti dall’art. 28 Reg. UE 2016/679.
Conclusioni
Nell’articolo “Software house e GDPR: perché è fondamentale adeguarsi” ho sottolineato l’importanza rivestita dalla normativa sulla privacy per quelle imprese che si occupano di informatica. In particolare, mi riferisco a tutte quelle società che si occupano della manutenzione dei sistemi hardware e software dei loro clienti.
L’importanza di adeguarsi al GDPR per questi soggetti non è data soltanto dalla necessità di evitare le sanzioni ma anche e soprattutto da quella di restare competitivi sul mercato. Infatti, ogni volta in cui un titolare del trattamento decida di affidare in outsourcing la manutenzione dei propri sistemi informatici, deve assicurarsi che il soggetto incaricato garantisca un’adeguata protezione ai suoi dati personali. Ciò vale a maggior ragione per l’amministratore di sistema. Egli ha in mano tutti i dati personali dell’impresa, pertanto i titolari non potranno rivolgersi a soggetti che non rispettino le norme sulla privacy o non forniscano adeguate garanzie di sicurezza.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.