Il contratto con l’amministratore di sistema sulla base dei provvedimenti del Garante e il Regolamento GDPR

In qualsiasi azienda, piccola o grande che sia, è presente la necessità di creare una propria struttura informatica dedicata allo svolgimento del business. Qualsiasi rete interna nel tempo ha la necessità di evolversi a causa dello sviluppo del lavoro o per l’adozione di nuove tecnologie.

Parte delle implementazioni, come firewall, VPN, antivirus, cloud, ecc. sono necessarie per la difesa informatica e, di concerto con la politica di prevenzione imposta dal GDPR, consentono da un lato di creare un proprio piano aziendale in merito all’uso di apparati informatici e dall’altro di dimostrare di aver gestito con coerenza e precisione la difesa della propria struttura informatica. Tale adeguamento impone di seguire i principi della privacy by design e privacy by default per la difesa dei dati presenti in azienda.

A tal proposito è necessario ricordare l’articolo 32 presente nel GDPR ove si esprime la necessità di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio.

Tali misure tecniche non sono dettagliate ma lo stesso art. 32 del Regolamento descrive delle procedure altamente specialiste come ad esempio la cifratura dei dati personali, il loro tempestivo ripristino in caso di incidenti fisici o digitali e le verifiche periodiche delle misure tecniche ed organizzative adottate, le quali danno per scontata la presenza di una figura competente e specializzata che possa gestire e rendere esecutivo il Regolamento.

Ecco quindi la necessità di affidarsi a un professionista che andrà a organizzare, sviluppare, monitorare ed eventualmente ripristinare l’accessibilità ai sistemi e alle informazioni. Quale rapporto è necessario instaurare con tale figura? Su quali basi giuridiche è bene codificare le mansioni da affidare? Quali skills deve possedere? E che responsabilità ha in capo questa figura nel caso in cui qualcosa andasse storto? È il ruolo importantissimo dell’amministratore di sistema che, per brevità, nel prosieguo, indichiamo con l’abbreviazione AdS.

Evoluzione legislativa della figura dell’Ads

La figura dell’amministratore di sistema è rimasta in una zona indefinita tra la precedente e l’attuale normativa sulla privacy.

Risale al 27 novembre 2008 il Provvedimento del Garante Privacy avente a oggetto “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, poi modificato nel 2009 sempre dal Garante.

Nel tempo, come tutti sappiamo, l’evoluzione della normativa è stata rimodulata dal Regolamento UE 679 nel 2016 poi recepito in Italia nell’estate del 2018 con il D.L. 101 del 10 agosto.

Per questo provvedimento del Garante, così come per gli altri, è valida la disposizione presente nel suddetto decreto legge di recepimento al GDPR ove all’art. 22, comma 4 si precisa che “a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la Protezione dei Dati Personali continuano ad applicarsi, in quanto compatibili con il suddetto Regolamento (GDPR) e con le disposizioni del presente decreto”.

Cosa si intende per “amministratore di sistema”

L’amministratore di sistema è un soggetto preposto alla sicurezza, alla gestione e alla manutenzione delle banche dati, dei sistemi e delle infrastrutture informatiche di un’impresa, di un ente o organismo cui vengono associati anche gli amministratori di reti e gli amministratori di sistemi software complessi (figura già definita dall’art. 1, comma 1, lett. c) D.P.R. 318/1999 nella disciplina previgente al Codice Privacy) che, in ragione delle proprie mansioni, come ad esempio, attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e manutenzione hardware, possono avere la necessità di accedere, accesso da considerarsi anche solo in via potenziale, ai dati personali trattati dal titolare e dalla sua organizzazione.

A causa dell’importanza dei compiti assegnati a tali soggetti e ai rischi associati al loro ruolo, il Garante era intervenuto con l’emanazione del provvedimento del 2008 per esplicitare le modalità di svolgimento degli incarichi assegnati agli AdS e il rapporto con il titolare del trattamento, stabilendo che gli stessi titolari erano tenuti ad adottare alcune misure volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali al fine di prevenire eventuali “abusi di potere” nello svolgimento delle proprie attività.

Si poneva inoltre l’attenzione sulla necessità di valutare attentamente le caratteristiche soggettive, di condotta, affidabilità e professionalità dei soggetti cui attribuire tale ruolo, da valutare anche in considerazione delle responsabilità, specie di ordine penale e civile (artt. 15 e 169 del Codice Privacy), che potevano scaturire in caso di incosciente o inidonea designazione.

L’amministratore di sistema era anche tenuto a fornire opportune garanzie del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati compreso il profilo relativo alla sicurezza degli stessi. Tali garanzie venivano richieste sia che l’AdS ricoprisse il ruolo di incaricato del trattamento perché scelto tra i dipendenti dell’azienda sia che assumesse il ruolo in qualità di responsabile “esterno” del trattamento poiché detentore di un affidamento in outsourcing.

Dall’atto di designazione al contratto come responsabile del trattamento in base al GDPR

Nell’atto di designazione (ante GDPR) era necessario elencare gli ambiti operativi in capo all’AdS in base al profilo di autorizzazione attribuito. Il titolare del trattamento, in relazione a quanto stabilito dal provvedimento del Garante, era tenuto a mantenere un elenco aggiornato degli amministratori di sistema, esplicitando anche le funzioni ad essi assegnate.

Nel caso in cui le mansioni di amministratore di sistema fossero relative a operazioni che avrebbero consentito loro di accedere a dati personali di lavoratori, l’identità di tale soggetto doveva essere resa nota ai lavoratori anche all’atto di presentazione dell’informativa privacy resa al dipendente nell’ambito del rapporto di lavoro.

Nel caso di servizi di amministrazione di sistema affidati a figure esterne all’azienda (outsourcing) il titolare o il responsabile del trattamento dovevano conservare direttamente e specificamente, per ogni eventuale evenienza, i contatti identificativi dei professionisti preposti quali amministratori di sistema.

Ogni anno il titolare del trattamento era tenuto a effettuare opportune verifiche sull’operato del professionista affidatario dell’incarico.

Era necessario adottare un sistema di controllo degli accessi agli apparati elettronici, tra tutti i server aziendali, mediante sistemi di autenticazione informatica e le registrazioni (access log) dovevano avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica, comprendendo i riferimenti temporali e la descrizione dell’evento che aveva determinato la necessità dell’accesso e conservandole per almeno sei mesi.

Questo dunque quanto fissato dal Garante della privacy in relazione al ruolo di amministratore di sistema prima dell’entrata in vigore del GDPR avvenuto il 24 maggio 2016.

Con riferimento all’articolo 22 comma 4 del già citato D.L. 101/2018 gli accorgimenti imposti dal Garante della privacy nel provvedimento sulla designazione degli amministratori di sistema appaiono conformi ai principi e alle disposizioni contenute nel GDPR. Si ritiene legittimo mantenere le misure e gli accorgimenti adottati, ricordando che, qualora le funzioni di amministratore di sistema siano state assegnate in outsourcing, occorrerà provvedere a designare tale soggetto quale responsabile del trattamento, assegnando allo stesso le funzioni specifiche di amministratore di sistema e stando attenti ad inserire nell’ atto giuridico tutto quanto richiesto dall’art. 28 del GDPR, rimandando eventualmente all’atto con cui tale soggetto a suo tempo è stato nominato amministratore di sistema, così da creare una documentazione coordinata e coerente con l’evoluzione normativa.

La rilevanza del ruolo dell’AdS è fondamentale poiché dalle sue implementazioni discendono la sicurezza e l’efficienza della rete informatica dell’organizzazione il controllo e il monitoraggio, tanto che la regolamentazione della sua attività appare rilevante ai fini di una efficace prevenzione dei reati organizzativi (D. Lgs. 231/2001).

In molti casi è opportuno porre un controllo sull’operato eseguito dall’AdS andando a delineare audit interni di consulenti terzi che siano in grado di verificare l’integrità del capitale informatico e la buona ed efficiente conduzione dell’operato. Qui emerge l’efficacia deterrente del principio: una volta che dall’enunciazione formale dell’incarico si passa alla concreta attuazione, dovendo rendere conto a qualcuno del proprio operato, chi agisce in mala fede sarà scoraggiato, ove sorgesse la tentazione, dal porre in essere condotte abusive o comunque estranee ai compiti affidati.

I compiti dell’Ads in base al provvedimento del Garante

Di seguito riportiamo quelle che sono state le indicazioni emanate dal Garante nel provvedimento del 27 novembre 2008 riferibili ai compiti in capo all’amministratore di sistema le quali erano molto puntuali e lasciavano poco spazio ad interpretazioni difformi da quanto prescritto di seguito:

• la funzione deve essere affidata a soggetti dotati di adeguata esperienza, capacità e affidabilità (4.1): il Titolare deve selezionare con attenzione un soggetto idoneo, profilandosi una responsabilità qualora il nominato, non essendo in possesso di requisiti sufficienti, ponga in essere condotte o atti compromettenti;
• la nomina deve essere individuale (4.2), deve cioè riguardare la persona fisica preposta (o più di una, se si vuole) anche quando il servizio sia affidato in outsourcing (4.3);
• la nomina deve specificare gli ambiti di operatività (compiti e responsabilità) consentiti in base al profilo di autorizzazione assegnato (4.2);
• l’operato della funzione deve essere oggetto di verifica da parte del Titolare (o del Responsabile se l’AdS risponde a quest’ultimo), in modo “da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali” (4.4);
• la periodicità della verifica deve essere almeno annuale (4.4): essa è da stabilire, concretamente, in coerenza con i tempi di conservazione delle registrazioni degli accessi logici ai sistemi di elaborazione e agli archivi elettronici;
• gli accessi logici debbono avere precise caratteristiche: completezza, inalterabilità, possibilità di verifica della loro integrità, inclusione delle informazioni sui riferimenti temporali e descrittive degli eventi che le hanno generate (4.5);
• le dette registrazioni debbono essere conservate per un periodo minimo di sei mesi (4.5).

I compiti dell’amministratore di sistema alla luce del GDPR

Al fine di creare un parallelo o meglio un adeguamento dei dettami emanati dal Garante alla luce del Regolamento UE 679/2016 attualmente in vigore la nomina di un AdS è un elemento fondamentale di accountability ai sensi dell’art. 24 del GDPR e di sicurezza ai sensi art. 32 dello stesso ove “le cautele in materia di nomina di un AdS non sono altro che alcune delle misure tecniche ed organizzative finalizzate a garantire la sicurezza dei trattamenti” e altresì la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di trattamento dei dati personali.

Come può quindi un AdS tramutare quanto espresso dalle norme a livello pratico? A titolo esemplificativo si elencano i possibili compiti in capo all’amministratore di sistema proponendo un possibile elenco di implementazioni da attuare che intersecano idealmente il Provvedimento del Garante con quanto esposto nel GDPR.

A tal proposito vogliamo sottolineare un fatto importante che molto spesso non viene sufficientemente evidenziato ossia la necessità di descrivere le varie operazioni progettate ed effettuate all’interno di un documento aziendale redatto dal titolare del trattamento piuttosto che dal DPO insieme all’AdS e che sia in grado di dimostrare il percorso di adeguamento intrapreso e i vari passaggi effettuati e che facendo riferimento alle motivazioni, allo stato dell’arte, ai costi di attuazione così come previsto dall’ art.25 del GDPR riesca e dimostrare che le implementazioni e le modifiche apportate al sistema fanno parte di un processo dinamico, ragionato e in continua evoluzione.

Ecco riportati di seguito le possibili mansioni in capo all’amministratore di sistema:

• codificare in modo analitico gli asset aziendali, le banche dati presenti in azienda ed organizzare un sistema complessivo di trattamento dei dati personali, predisponendo e curando ogni relativa fase;
• individuare per iscritto il soggetto o l’incaricato della custodia delle password per l’accesso al sistema informativo e vigilare sull’ attività svolta;
• impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;
• impostare e gestire un sistema di autorizzazione per i soggetti che trattano i dati personali con strumenti elettronici come ad esempio gerarchie di accesso ai dati contenuti sui server aziendali;
• adottare un sistema idoneo alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Tali registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e tali devono essere conservate per un periodo non inferiore a sei mesi;
• assicurare e gestire sistemi di salvataggio e di ripristino dei dati (backup) anche automatici, nonché approntare adeguate misure e/o sistemi software di salvaguardia per la protezione dei dati personali (antivirus, firewall, test di intrusione piuttosto che penetration test)
• Impartire a tutti gli autorizzati al trattamento (Art. 29 GDPR), attraverso le metodologie e le scelte redatte dal titolare del trattamento o del DPO le istruzioni organizzative e tecniche che prevedono le modalità di utilizzo dei sistemi di salvataggio e tutte le indicazioni da rispettare.
• organizzare i flussi di rete, la gestione dei supporti di memorizzazione, la manutenzione hardware, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi, quali accesso abusivo al sistema informatico o telematico, frode, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici e telematici;
• collaborare con il titolare o, ove presente, con il DPO nella stesura di una policy aziendale o mansionario contenente le regole e le scelte aziendali in merito all’utilizzo delle attrezzature informatiche, posta elettronica ed internet per tutti coloro che utilizzano tali strumenti in azienda;
• predisporre un piano di controlli periodici, da eseguire con cadenza almeno semestrale, atti a verificare l’efficacia delle misure di sicurezza adottate nell’ente/azienda/studio professionale.
• assistere e collaborare con il DPO o con il titolare del trattamento nell’eventuale redazione di documenti da inserire nel registro delle violazioni che descrivano gli incidenti informatici avvenuti con i tempi e i modi di ripristino dei sistemi nonché le eventuali denunce al Garante della Protezione dei dati di avvenuti data breach (art. 33 GDPR).

Sulla base di queste considerazioni si può affermare che la figura dell’AdS risulta essere attuale e in linea con quanto richiesto dal Regolamento Europeo. Questa figura, infatti, costituisce uno strumento importante sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento stesso.

Conclusioni

In conclusione a tutto quanto esposto in precedenza è possibile condensare tutte le scelte accordate tra le parti all’interno del documento che regola i rapporti tra il titolare del trattamento e il l’AdS. Tale documento deve avere la forma dell’atto contrattuale così come previsto dall’articolo 28 del GDPR. Tale documento sarà la base su cui fondare il rapporto tra le parti. Di seguito riportiamo l’elenco dei capoversi necessari per redigere un documento che andrà a contenere i principi sopra esposti.

• Basi legali: riferimenti alle normative che regolano l’accordo
• Dati identificativi delle parti: ragione sociale del titolare e dell’AdS
• Oggetto dell’accordo: indicare il motivo della nomina
• Contesto: andremo ad indicare la natura dei dati trattati, la durata del trattamento, le finalità dei dati personali trattati
• Diritti e obblighi generali delle parti
• Divieto di cessione dell’accordo: indicare l’impossibilità per l’AdS di cedere il contratto a terzi
• Limiti o divieti alla nomina di sub-responsabili del trattamento: dare o meno la possibilità di per l’AdS di avvalersi di collaboratori esterni per il raggiungimento degli obiettivi
• Divieto o limiti di trasferimento di dati fuori dalla UE
• Conseguenze della risoluzione dell’accordo
• Legge applicabile e risoluzione delle controversie

Naturalmente tutte questi paragrafi andranno parametrati in base alla tipologia dei dati trattati, all’entità e alla complessità dell’azienda e a molte altre variabili in gioco.