Amministratore di sistema: facoltà, obbligo o incompatibilità con il GDPR?

Alla luce del rinnovato impianto normativo in materia di data protection, risulta di non poco conto un’analisi sul ruolo dell’amministratore di sistema, anche avuto riguardo al fatto che “pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo, nelle loro consuete attività sono, in molti casi, concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati”^[1].

Amministratore di sistema e GDPR

Si inizi con il dire che la figura dell’Amministratore di Sistema (anche abbreviato in “AdS”) non gode di una vera e propria definizione, né tanto meno di un riferimento espresso nel testo del Regolamento europeo sul trattamento dei dati delle persone fisiche (GDPR), elementi questi che emergono esclusivamente dalla lettura del Provvedimento del 27 novembre 2008 del Garante privacy italiano (poi modificato il 26 giugno 2009)^[2], che ha re-introdotto l’AdS nel panorama privacy così come originariamente previsto.

La disciplina previgente, difatti, definiva l’Amministratore di sistema quale “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”^[3].

Diversamente, nel successivo Codice privacy (D. lgs. 196/2003) non era stata inclusa espressamente la figura dell’AdS, che però veniva richiamata nell’Allegato B (oggi abrogato), laddove si prevedeva l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione, così come lo svolgimento di alcuni compiti specifici^[4] che tipicamente spettano, appunto, all’Amministratore di sistema.

Chiarito questo, è bene concentrarsi sulle caratteristiche e sui requisiti della citata figura così da poter rispondere – in conclusione e concretamente – ad alcuni dubbi ancora aperti sul punto, quali:

• Il Provvedimento del Garante è compatibile o no con il GDPR?

E se lo è, ad oggi:

• Quali sono le misure e gli accorgimenti da adottare e quali le responsabilità in capo ai titolari dei trattamenti effettuati con strumenti elettronici che si avvalgono di Amministratori di sistema?
• Quali sono i rischi derivanti dalle attività un Amministratore di Sistema?

Procediamo, quindi, per gradi.

Cosa si intende per “Amministratore di Sistema” e qual è il suo ruolo?

“Con la definizione di amministratore di sistema si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”^[5].

Con tale termine si intende, dunque, indicare “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali” (Provvedimento del Garante del 27 novembre 2008 e FAQ punto n. 1^[6]).

A ben vedere, quindi, rientrano nell’AdS una pluralità di figure, quali nello specifico l’amministratore:

• di sistema, cui fa capo la gestione dei sistemi hardware e software, sistemi operativi e applicazioni;
• di rete, cui spetta la gestione dell’infrastruttura delle reti e la manutenzione, configurazione ed aggiornamento delle componenti di rete;
• di database, addetto alla gestione delle base dati aziendali, responsabile dell’integrità dei dati, dei back-up e del disaster recovery;
• di sicurezza, responsabile della gestione dei sistemi di autenticazione e di autorizzazione, dei privilegi d’accesso, della risoluzione dei problemi sugli apparati di sicurezza e dell’adozione delle misure di sicurezza più in generale;
• di software complessi, cui spetta l’installazione, la configurazione, l’amministrazione e la risoluzione dei problemi legati ai sistemi software complessi;
• web, che si preoccupa della gestione dei servizi web, in internet e intranet, e di navigazione in generale.

Non rientrano, invece, in tale figura quei soggetti che solo occasionalmente intervengono sui sistemi di elaborazione e sui sistemi software, ad esempio, per scopi di manutenzione a seguito di guasti o malfunzioni (FAQ n. 1).

L’Amministratore di sistema, quindi, deve racchiudere in sé le competenze necessarie al corretto settaggio e all’adeguata gestione delle componenti hardware e software, dell’architettura informatica e delle reti informatiche in uso ai soggetti che lo nominano. Senza dimenticare i profili di sicurezza dei devices, dei database, delle reti, così come le procedure di autenticazione, di autorizzazione, di accesso, le soluzioni di backup, e quelle relative a disaster recovery e business continuity.

In aggiunta, è altresì necessaria la valutazione – e quindi la rilevata sussistenza – di alcune caratteristiche soggettive proprie dell’AdS, come riportato nel punto 4.1 del Provvedimento:

“L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”. Il che si traduce non solo nella formazione specifica in ambiti prettamente tecnologici, ma anche – e non meno importante – in materia di privacy e di data protection, proprio al fine di assicurare il rispetto della garanzia delle vigenti disposizioni in materia.

Nella prassi, dunque, all’Amministratore vengono dati in carico – come minimo – la gestione del sistema informatico (nel quale risiedono le banche dati personali), delle credenziali di autenticazione, del backup, delle misure antintrusione e di gestione virus, dei supporti di memorizzazione, la manutenzione hardware, l’organizzazione dei flussi di rete, e la predisposizione e aggiornamento di un sistema di sicurezza informatico adeguato, venendo lo stesso reso edotto del fatto che il suo operato sarà oggetto di attività di verifica (audit) da parte del Titolare, secondo le policy e le procedure aziendali e comunque con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali.

È, infine, propria dell’amministratore di sistema anche la routine di sicurezza informatica a garanzia della struttura informatica, specialmente in ottica di evitare violazioni dei dati anche personali (“data breach”).

Già da queste prime riflessioni appare chiaro come tale figura sia tutt’altro che banale e che il relativo ruolo – di riflesso – non possa (e non dovrebbe) essere ricoperto da chiunque.

Serviranno, anzitutto, professionalità, responsabilità e competenze specifiche, ma anche, ad esempio, la non incompatibilità con altri ruoli di controllo ricoperti in azienda.

A quali trattamenti non si applica il provvedimento sugli Ads

Per la risoluzione di tale aspetto viene in aiuto il punto 4 del Provvedimento del 2008, così come la FAQ n. 6, che recitano rispettivamente:

• “Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell’art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008)”;
• “Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008)”. Per completezza, “i soggetti che possono avvalersi della semplificazione sono – tra gli altri – quelli che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese come definite dall’art. 2083 cod. civ. e dal D.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese” (Punto 1, lettera b) del Provvedimento di semplificazione del 27 Novembre 2008).

Per essere sicuri di comprendere a pieno la portata di questi enunciati è utile guardare alla definizione di “trattamento amministrativo contabile” ex D.lgs 196/03 (prima dell’intervento del D.lgs. 101/2018 di armonizzazione con le prescrizioni di cui al GDPR), che all’articolo 1-ter statuiva: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”. 

A fronte di ciò, quindi, si possono ritenere esclusi dalla portata del Provvedimento i trattamenti relativi all’ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce, qui, ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali.

Il punto 24 delle citate FAQ, prevede che tali trattamenti possano considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, siano esclusi dall’ambito applicativo del provvedimento.

E quali sono in concreto le imprese escluse dall’applicabilità del Provvedimento ai sensi FAQ n. 6 sopra riportata?

Tutti i Titolari del trattamento rappresentati da micro, piccole o medie imprese così come definite dal d.m. del 18 Aprile 2005 e che trattano dati personali esclusivamente per finalità contabili o amministrative.

È, infine, il caso di specificare che le prescrizioni contenute nel citato Provvedimento e relative all’AdS:

• riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente^[7];
• non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso^[8].

Il Provvedimento del Garante del 2008 è compatibile o no con il GDPR?

Per affrontare correttamente questo aspetto è bene ricordare ancora una volta che non è rinvenibile nel GDPR alcun riferimento alla figura dell’amministratore di sistema, né tanto meno nel nostro attuale Codice Privacy.

Questo però, non pare far venir meno la validità del Provvedimento del 2008 laddove lo stesso risulta compatibile con le disposizioni contenute e previste dal Regolamento europeo sulla protezione dei dati delle persone fisiche. Non fa – cioè – la stessa fine del DPS o delle norme del Codice Privacy espressamente abrogate dall’intervento del D.lgs. 101/2018.

Segue piuttosto la sorte prevista dall’articolo 22 comma 4 del citato D.lgs., ai sensi del quale i “vecchi” provvedimenti del Garante continuano ad avere valore nei limiti della loro compatibilità con il GDPR e con il 101/2018.

Ciò premesso, è poi da evidenziare che nel Regolamento europeo si trova un richiamo indiretto alla figura dell’AdS in tutte quelle norme dedicate alla messa in atto da parte del Titolare e del Responsabile di adeguate misure tecniche che possano garantire la sicurezza dei dati a fronte di un potenziale rischio di violazione degli stessi (data breach).

In tal senso, l’art. 32 del GDPR, infatti, prevede espressamente che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Qui il riferimento è a misure “adeguate” al rischio, facendo pensare che nelle stesse vada ricompresa la figura dell’Amministratore di Sistema già pensata ed esistente quando le misure di sicurezza erano “solo” minime e – credibilmente – inferiori a quelle attualmente previste dalla normativa.

Tanto più che nelle misure adeguate si fa riferimento a soluzioni tecniche per la corretta applicazione delle quali è certamente necessaria una professionalità specialistica, come ad esempio nel caso della cifratura, dell’anonimizzazione, del disaster recovery, della business continuity e degli audit.

Posto, quindi, che “Indubbiamente non può dirsi che il provvedimento in esame non rispecchi le aspettative del Regolamento o che non risponda ai principi di responsabilità e di efficacia delle misure organizzative e di sicurezza che esso sdogana esplicitamente”^[9], va evidenziato come in vigenza del Regolamento GDPR lo stesso ribalti ogni singola scelta nel perimetro dell’autodeterminazione e responsabilizzazione del Titolare (accountability) che si troverà, dunque, nella posizione di valutare i processi, le procedure, i trattamenti e le misure di sicurezza da adottare, ivi compresa l’eventuale nomina di uno (o più) AdS.

Note

1. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008), così modificato in base al provvedimento del 25 giugno 2009, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499. ↑
2. Pubblicato sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008. ↑
3. Art. 1, comma 1, lett. c) d.P.R. 318/1999. ↑
4. Ad esempio, dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. ↑
5. Punto 1 delle Premesse, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499. ↑
6. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499#FAQ. ↑
7. Precisazioni del Garante privacy italiano del 10 dicembre 2009, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1676654. ↑
8. Precisazioni ult. cit. ↑
9. https://www.privacy.it/2017/04/12/gli-amministratori-di-sistema-e-il-regolamento-ue-n-6792016/. ↑