skip to Main Content

Gli amministratori di sistema nel nuovo provvedimento del Garante

di Michele Contartese Amministratori di sistemaIl Garante è intervenuto sul finire dello scorso anno per dare una più concreta regolamentazione su una figura importantissima nella gestione dei processi aziendali: gli amministratori di sistema. Questa figura professionale, introdotta con il D.P.R. 318 del 1999, era stata, poi, accantonata dai successivi interventi legislativi per tornare nuovamente in auge con il Provvedimento del 27 novembre 2008, (pubblicato nella G.U. n. 300 del 24 dicembre 2008), “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. La ratio dell’intervento è rinvenibile nel fatto che tale figura, nello svolgimento delle sue mansioni, può accedere facilmente a risorse del sistema informativo o a dati personali che, ai sensi della disciplina sulla tutela dei dati personali, non potrebbe conoscere, se non autorizzata. Prima di proseguire nell’elencazione delle novità apportate dal provvedimento in commento, è opportuno dare una definizione di amministratore di sistema (o system administrator), riprendendo quella contenuta nel D.P.R. prima citato, ove si sancisce che questi è: il soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’ utilizzazione. Tale nozione è stata, poi, estesa dal nuovo provvedimento, in quanto non prevede solo figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti,ma anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati,quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Inoltre, le funzioni precedentemente assegnate, sono comunque, indicate nell’Allegato B del D.lgs. 196 del 2003. Il Garante nel provvedimento ha dovuto necessariamente tenere in considerazione il fatto che gli amministratori di sistema sono responsabili di specifiche fasi lavorative per cui è importante porre in essere delle regole per proteggere i dati personali. Tra queste, si devono ricordare: quella per cui in virtù dell’attribuzione del ruolo privacy all’amministratore di sistema è opportuno che questi venga designato responsabile del trattamento. Si seguono, pertanto le indicazioni presenti nell’articolo 29 del Codice; la designazione dell’amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. La scelta deve tenere in considerazione l’esperienza, la capacità e l’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; e l’amministratore di sistema svolge trattamenti che coinvolgono i lavoratori, il suo nominativo dovrà esser reso noto nelle forme già previste dall’art. 13 o dalle linee guida per internet e posta elettronica. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. in caso di esternalizzazione del servizio, il provvedimento impone che il titolare conservi direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema; così come è previsto normativamente per la gestione del rapporto titolare/responsabile, l’amministratore di sistema (a prescindere dal fatto che sia designato “soltanto” incaricato del trattamento) dovrà essere soggetto a verifica periodica, con cadenza “almeno nnuale”. A compendio di ciò, gli accessi effettuati da parte dell’amministratore di sistema dovranno essere registrati, e le registrazioni dovranno avere caratteristiche tali da consentire di risalire al dettaglio delle operazioni poste in essere dagli interessati. Il provvedimento prevede che tutti i trattamenti in corso debbano essere adeguati entro 120 giorni dalla pubblicazione nella Gazzetta Ufficiale (avvenuta il 14 dicembre 2008) e quindi entro il 23 aprile 2009. Si segnala che con un successivo provvedimento del 12 febbraio 2009 il Garante ha prorogato il termine per l’adozione delle nuove misure di sicurezza per gli amministratori di sistema al 30 giugno 2009.

Back To Top