Amministratore di sistema Gdpr: il suo ruolo nel trattamento dei dati

L’amministratore di sistema è una figura professionale di particolare rilievo, non solo per le sue competenze e responsabilità dal punto di vista tecnico operativo, ma anche per il suo rapporto con la privacy e la tutela dei dati a cui ha accesso.

La sua funzione principale è quella di gestire il sistema informatico di un’organizzazione. Un ruolo operativo, essenziale per la sicurezza dei sistemi telematici e delle banche dati. Ma proprio nell’espletamento di mansioni prettamente tecniche (come il salvataggio dei dati, la gestione dei supporti di memorizzazione, l’installazione e l’aggiornamento di antivirus, la gestione delle credenziali, eccetera) accede, in modo privilegiato o per caso fortuito, ad una notevole quantità di informazioni aziendali. Un fatto che può considerarsi, a tutti gli effetti, un trattamento di dati che rientra nella privacy.

Per tale ragione, l’amministratore di sistema, pur non essendo richiamato in modo espresso nel Gdpr, ha una responsabilità notevole sui dati aziendali all’interno dell’impresa. Quindi, non può non conoscere tutti gli aspetti relativi alla privacy, in particolar modo quelli normativi.

Da ciò si comprende la rilevanza attribuita all’amministratore di sistema all’interno del sistema di gestione della privacy aziendale. Un ruolo dunque molto delicato, da affidare con attenzione a chi è preparato, formato così bene da potersi assumere questa responsabilità.

Peraltro, l’affidamento dei compiti all’amministratore di sistema deve essere estremamente dettagliato. La nomina deve circoscrivere, con precisione, i limiti delle sue responsabilità.

L’amministratore di sistema e il Gdpr

Nonostante il suo ruolo con riferimento alla tutela dei dati e alla privacy, non si trova traccia esplicita dell’amministratore di sistema nel Gdpr.

Infatti, il regolamento europeo non prevede espressamente la figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati, limitandosi a richiamarla implicitamente in alcune norme per le sue specifiche competenze tecniche.

In base all’articolo 32 del Gdpr (dedicato alla sicurezza del trattamento), al titolare del trattamento (e all’eventuale responsabile) spetta il compito di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio".

Proprio in questa norma c’è il richiamo (implicito) alla figura dell’amministratore di sistema, che si può ricavare nello stesso articolo 32 quando, tra le misure di sicurezza tecniche da implementare al fine di assicurare la sicurezza degli strumenti elettronici, si prevede la pseudonimizzazione e la cifratura dei dati, il ripristino tempestivo dei dati in caso di incidenti fisici o tecnici, nonché verifiche periodiche delle misure tecniche e organizzative adottate.

Inoltre, secondo l’articolo 29 del Gdpr, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.

L’amministratore di sistema, appunto, agisce sotto l’autorità del titolare (o del responsabile) in base alle istruzioni ricevute. E nel suo ruolo, chiaramente, è il soggetto di riferimento per ogni problematica relativa ai data breach, ovvero la violazione dei dati personali in tema di privacy.

La definizione esplicita di amministratore di sistema si riscontra, invece, nei provvedimenti del Garante italiano. Quest’ultimo, con provvedimento del 27 novembre del 2008, definisce l’amministratore di sistema, in ambito informatico, la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Amministratore di sistema: compiti e responsabilità

L’amministratore di sistema deve essere un soggetto capace e molto formato, tecnicamente e giuridicamente: le responsabilità che gli sono attribuite implicano un profilo di alta specializzazione, in modo da evitare rischi ed errori.

Dall’analisi delle norme, risulta evidente come l’amministratore di sistema debba possedere il massimo delle competenze in materia di privacy.

E se, anzitutto, l’amministratore di sistema assolve a tutti i compiti che riguardano la gestione dei vari sistemi informatici all’interno di una rete (installazione dei sistemi e verifica della corretta funzionalità, aggiornamenti e interventi per riparare eventuali malfunzionamenti), ruolo e responsabilità nel trattamento dei dati sono determinanti.

Infatti, per evitare il rischio della perdita e compromissione dei dati che possono poi comportare un data breach, tra i compiti dell’amministratore di sistema c’è anche quello di implementare le misure di sicurezza e i backup, progettando altresì le necessarie attività di supporto al disaster recovery.

Inoltre, al fine di evitare pericolosi accessi indesiderati dall’esterno, l’amministratore di sistema si occupa della procedura di autenticazione da parte degli utenti. Un compito essenziale anche per tutelare i dati.

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

• Amministratore di Sistema: compiti e responsabilità del ruolo

• Ispezioni, ma con preavviso al responsabile esterno del trattamento

• Gdpr e marketing nell'e-commerce

• Profilazione utente nelle attività di marketing per e-commerce
  
  

Inizia con il piede giusto e scopri le best practice per la tutela della privacy e  la scelta dell'amministratore di sistema.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.