Amministratore di Sistema Privacy: cosa prevede il regolamento europeo

Il suo è un ruolo operativo, essenziale per la sicurezza dei sistemi informatici e telematici e delle banche dati, quindi ha specifiche competenze tecniche. A lui è affidato il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in base alle istruzioni ricevute) all’accesso, oltre che vigilare sull’utilizzo dei sistemi stessi.

L’amministratore di sistema (ADS) è colui che, nell’espletamento di mansioni prettamente tecniche (quali il salvataggio dei dati, l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione, l’installazione e l’aggiornamento di antivirus, la gestione delle credenziali e dei sistemi di autenticazione, eccetera) accede, in modo privilegiato o per caso fortuito, ad una notevole quantità di informazioni aziendali, il che può considerarsi a tutti gli effetti un trattamento di dati che rientra nella privacy.

Da ciò si comprende la rilevanza attribuita all’amministratore di sistema all’interno del sistema di gestione della privacy aziendale. Un ruolo dunque molto delicato, da affidare con molta attenzione a chi è preparato allo scopo e ad assumersi questa responsabilità.

L’amministratore di sistema può essere:

• interno > è il caso di aziende grandi e strutturate tali da avere un proprio responsabile IT in grado di svolgere le attività dell’ADS;
  
  
• esterno > le medie e piccole aziende affidano questo ruolo ad un tecnico esterno, che gestisce il sistema informatico aziendale. L’ADS deve essere nominato dall’azienda come responsabile del trattamento.

L’amministratore di sistema secondo la disciplina del Gdpr

Il regolamento europeo, il Gdpr, non prevede espressamente la figura dell’amministratore di sistema nel processo di trattamento e custodia dei dati, limitandosi a richiamarla implicitamente in alcune norme per le sue specifiche competenze tecniche.

La definizione di amministratore di sistema si riscontra, invece, nei provvedimenti del Garante italiano. Quest’ultimo, con provvedimento del 27 novembre del 2008, definisce l’amministratore di sistema (ADS), in ambito informatico, la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Il provvedimento del garante prevede l’obbligo di registrazione degli accessi logici degli amministratori di sistema.

Se nel regolamento europeo sulla protezione dei dati personali non c’è un riferimento a tale figura, tuttavia al titolare del trattamento (e all’eventuale responsabile), in relazione all’articolo 32 del Gdpr (dedicato alla sicurezza del trattamento), spetta il compito di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il richiamo implicito alla figura dell’amministratore di sistema è ricavabile nello stesso articolo 32 quando, tra le misure di sicurezza tecniche da implementare al fine di assicurare la sicurezza degli strumenti elettronici, prevede la pseudonimizzazione e la cifratura dei dati, il ripristino dei dati in caso di indicenti fisici o tecnici e le verifiche periodiche delle misure tecniche e organizzative adottate.

È evidente che l’applicazione di tali misure richiede, di necessità, la partecipazione di personale altamente specializzato e competente, come appunto l’amministratore di sistema, sin dalle fasi di progettazione e protezione dei dati.

La centralità dell’amministratore di sistema nell’ambito della privacy

La centralità del ruolo dell’amministratore di sistema è insita già nella sua funzione di gestione di una mole di informazioni molto delicate, relative a dati particolari, che rientrano nel concetto di privacy di cui al Gdpr.

Secondo l’articolo 29 del Gdpr, “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.

Per questa ragione, l’amministrazione di sistema è un soggetto che agisce sotto l’autorità del titolare (o del responsabile) in base alle istruzioni ricevute.

Nel suo ruolo, evidentemente, l’amministratore di sistema è il soggetto principale con riferimento alle problematiche dei data breach, ovvero la violazione dei dati personali in tema di privacy.

A seconda della complessità organizzativa dell’azienda, il titolare potrebbe dover nominare uno o più amministratori di sistema, indicando specificamente gli ambiti di operatività. 

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

• Backup e Disaster Recovery: la soluzione in caso di blocco
• Disaster recovery plan: la difesa migliore alla-continuità aziendale 
• Business Continuity Plan: ferma le minacce alla continuità operativa 
  
  

Inizia con il piede giusto e scopri le best practice per la privacy e  la sicurezza delle informazioni da adottare nelle tue strategie di marketing e e-commerce.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.