Amministratore di Sistema all’epoca del GDPR

Amministratore di Sistema all’epoca del GDPR

In questo articolo tratteremo dell’Amministratore di Sistema figura non contemplata nel Regolamento n. 679/2016, General Data Protection Regulation,  (per maggiori informazioni sulle attività svolte dallo Studio in materia, visita la pagina Servizi dedicata alla consulenza privacy).

Chi è l’Amministratore di Sistema?

L’Amministratore di Sistema (ads) è quella figura professionale dedicata alla gestione e alla manutenzione di un impianto di elaborazione, o di sue componenti, con cui vengono effettuati trattamenti dei dati personali. Non rientrano nella definizione, quei soggetti che intervengono solo occasionalmente (ad esempio per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione o sui sistemi software.

Amministratore di Sistema: il grande assente del Regolamento 679/2016 (GDPR)

Nel testo del Regolamento Europeo 679/2016 non vi è alcun riferimento alla figura dell’Amministratore di Sistema e, pertanto, si ritiene che siano tutt’oggi vigenti e obbligatorie le disposizioni contenute nel provvedimento del Garante Privacy del 27.11.2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”) e successive modifiche.

La questione da affrontare è se, il Titolare debba o meno designare formalmente questa figura professionale, nel caso in cui faccia uso di un soggetto tecnico per manutenere i propri sistemi informatici (per es. relativamente alle misure di sicurezza: back-up, disaster ricovery, installazione ed aggiornamento antivirus e firewall ecc..). La risposta non può che essere positiva, qualora la tipologia di trattamenti dei dati svolti dal Titolare non rientri tra quelli a tal fine esonerati dalla normativa (sono esonerati solamente i Titolari dei trattamenti dei dati personali effettuati con strumenti elettronici, effettuati esclusivamente ai fini ammnistrativo-contabili, in quanto, tali trattamenti, pongono minori rischi per gli interessati). Qualora il Titolare, nello svolgere la propria attività, tratti dati “particolari”, non limitandosi a trattamenti riconducibili ad attività esclusivamente amministrativo-contabile, appare necessaria la nomina dell’Amministratore di Sistema. Se Egli, poi, si avvale di un servizio di amministrazione di sistema, anche affidato in outsourcing e operante “da remoto”, dovrà a maggior ragione provvedere alla sua designazione.

In particolare, nel caso in cui il Titolare abbia esternalizzato il servizio di intervento sui dispositivi elettronici, ad un soggetto terzo, questo andrà nominato quale Responsabile del trattamento ex art. 28 GDPR. Tale responsabile, a sua volta, dovrà fornire al Titolare, su sua richiesta, un elenco aggiornato delle persone fisiche designate all’amministrazione del suo sistema informatico, con gli estremi identificativi e l’elenco delle funzioni ad esse attribuite.

Il Titolare dovrà rendere noto tale elenco ai propri dipendenti, qualora gli Amministratori di Sistema abbiano la possibilità di accedere ai dati di questi.

Inoltre è consigliabile che il Titolare richieda al Responsabile, almeno ogni sei mesi, anche il cosiddetto “registro degli accessi logici” (si tratta di un documento che il Responsabile deve elaborare, e contiene la registrazione degli accessi logici delle persone incaricate all’amministrazione di sistema ai sistemi client e server del Titolare).

 

Necessità di prevedere delle linee guida o policy

Inoltre, la nomina dell’Amministratore di Sistema, anche se non espressamente prevista dal Regolamento (GDPR), è comunque un adempimento inquadrabile nella corretta esecuzione dell’art. 32 dello stesso, che prescrive al Titolare del trattamento, di porre in atto tutte le misure necessarie ad assicurare un livello di sicurezza adeguato al rischio che il trattamento dei dati comporta. Siccome la conservazione e la gestione dei dati personali avviene, di norma, anche in via telematica e/o su supporto informatico, ne consegue che solamente un Amministratore di Sistema, figura specializzata nell’utilizzo informatico dei dati personali, consente di garantire un livello di sicurezza adeguato.

Occorre precisare che, a tal fine, la nomina dell’Amministratore di Sistema è condizione necessaria, ma non sufficiente. È altresì opportuno che il Titolare del trattamento doti i propri sistemi informatici di ulteriori sistemi di sicurezza (ad esempio pseudonimizzazione e cifratura, elaborazione di una procedura di ripristino tempestivo dei dati personali in caso di incidente, e di una procedura di verifica dell’efficacia dei sistemi di sicurezza…) compendiabili in linee guida o policy anche ad uso dei propri dipendenti.

Per ulteriori chiarimenti, lo Studio Legale Beri e Toninelli si trova in Piazza Garibaldi n. 5 , Pistoia. Offriamo assistenza legale in tutta Italia, in particolare presso i Tribunali di Pistoia, Prato, Lucca e Firenze Potete scrivere la vostra richiesta nel form presente al seguente link: https://www.btstudiolegale.it/contatti/