L’amministratore di sistema nella nuova privacy europea
Con l’approssimarsi della piena entrata in vigore del nuovo regolamento europeo sulla Privacy (GDPR – General Data Protection Regulation) del prossimo maggio si parla sempre più spesso di figure centrali quali, ad esempio, il titolare del trattamento o il responsabile della protezione dei dati – Data Protection Officer – ma poco o nulla si dice di una figura non del tutto marginale come quella dell’amministratore del sistema informatico aziendale.
Definizione delle funzioni
Per sua interpretazione “scolastica” l’amministratore di sistema o, tecnico sistemista di rete che a dir si voglia, è una figura professionale che approfondisce le competenze di un tecnico hardware e software soprattutto per quanto riguarda le caratteristiche delle architetture informatiche, i livelli di sistemistica e, in particolare, l’utilizzo e la condivisione di grandi quantità di dati attraverso le reti di comunicazione.
Si occupa quindi essenzialmente di ogni tipo di rete informatica, comprese quelle a cui non si accede via web, come le reti intranet e, non per ultimo implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti, curando interventi di conservazione dei dati attraverso debite soluzioni di “backup” e progettando le attività di supporto al “disaster recovery”.
Quindi, come si può dimostrare speditamente, l’amministratore di sistema durante l’espletamento dei suoi incarichi, pur se meramente tecnici, ha un considerevole impatto di responsabilità sui dati aziendali.
Caratteristiche
Indubbiamente riveste sul piano operativo una certa professionalità all’interno dell’azienda ma, in realtà, nella nuova rielaborazione europea non appare un chiaro riferimento a tale figura pur se implicitamente richiamata per le sue specifiche competenze tecniche la dove, in capo al titolare del trattamento e/o all’ eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento UE 27 aprile 2016 n.679).
Non si parla in questo ambito di quali siano le “misure adeguate” ma sicuramente sono superiori a quelle misure minime di sicurezza cui eravamo abituati con l’allegato B del codice del 2003 e cioè credenziali di autorizzazione, aggiornamenti software e via discorrendo.
Il tecnicismo poi ricordato nelle procedure descritte nello stesso articolo – quali la cifratura dei dati, il loro ripristino in caso di incidenti e le verifiche periodiche delle misure tecniche adottate – lasciano intravvedere una necessaria partecipazione di personale specialistico esperto nella gestione e nella trattazione informatica dei dati personali, così come la necessità di un suo intervento tecnico sin dalle fasi di progettazione e protezione dei dati – la cosiddetta privacy by design e privacy by default – di cui all’art. 25 del medesimo Regolamento UE.
Volendo andare oltre, la prima persona che dovrebbe rendersi conto di un eventuale violazione o perdita dei dati, accidentale od intenzionale che sia, è proprio l’amministratore di sistema che, con la sua attività quotidiana, svolge routine di sicurezza informatica volte a garanzia della struttura informatica.
Siamo in questo caso nell’ambito del cosiddetto “data breach” argomento pregnante nelle attuali discussioni informatico giuridiche e che merita un’alta attenzione, per via delle implicazioni e degli incombenti a carico del titolare del trattamento dei dati.
Sono nelle menti di tutti, ad esempio, i recenti casi Unicredit, Yahoo ed Equifax dove numerosissimi profili (dati personali) sono stati indebitamente acquisiti attraverso attività di hackeraggio a seguito di falle nel sistema informatico aziendale, di fatto mal protetto e mal vigilato.
Il tema della sicurezza informatica non si esaurisce, dunque, solo con semplici installazioni di prodotti antivirus, regole di networking e policy stringenti ma soprattutto con costanti monitoraggi proattivi della rete e delle sue componenti che, ovviamente, devono essere attuati da personale altamente specializzato, ora più che mai viste anche le pesanti sanzioni poste a carico dei titolari del trattamento in caso di inosservanza.
Ne consegue in definitiva un ruolo non di poco conto all’interno di un Sistema Informativo Aziendale dell’amministratore di sistema.
La legislazione
Già previsto agli albori della privacy nella disciplina di protezione dei dati preesistente al Codice del 2003 la dove si definiva l’amministratore di sistema “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”(art. 1, comma 1, lett. c) d.P.R. 318/1999) viste anche le specificità professionali mirate alla protezione dei dati ed alla sicurezza degli stessi.
Dopo la sua misteriosa scomparsa nel codice del 2003, con provvedimento formale del 27 novembre 2008 ed il successivo del 25 giugno 2009 il Garante della Privacy ha inteso rispecchiare tale figura e specificare meglio le sue attività professionali riportandolo ad un ruolo essenziale nella complessa gestione dei dati e nella doverosa esigenza di elevata protezione degli stessi.
Si è giunti così a definirne l’alta professionalità e responsabilità di vigilanza sui trattamenti informatici all’interno del Sistema Informativo Aziendale pur se sempre relegato alla stretta vigilanza del titolare e/o del responsabile del trattamento.
Considerazioni finali
Stupisce quindi non poco la mancata affermazione, nel nuovo regolamento europeo, di una espressa enunciazione di questa figura essenziale nel processo di trattazione e custodia dei dati considerato che, nella maggior parte delle realtà aziendali, l’amministratore di sistema è personale tecnico qualificato a se stante e non potrà neanche coincidere con analoghe figure di controllo quale il Data Protection Officer che svolge autonome attività di audit nell’ambito della sicurezza informatica.
Proprio il settore sicurezza informatica così come la conservazione dei dati costituisce una tipicità del ruolo assunto in azienda dall’amministratore di sistema tale da farne uno specialista di cui non si può fare a meno.
E’ auspicabile pertanto che, nei previsti interventi normativi in Italia in applicazione del GDPR, possa anche rientrarvi la ri-enunciazione di tale soggetto pur ricordando che, nelle more di un adeguamento al regolamento europeo, quanto previsto relativamente alle funzioni attribuite dal Garante della Privacy nel sistema vigente permangono valide.
BIBLIOGRAFIA
- Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499 - Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009
(G.U. n. 149 del 30 giugno 2009)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1626595
- Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
(G.U. n. 174 del 29 luglio 2003)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1311248 - Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1557184 - Legge n. 675 del 31 dicembre 1996
Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali
(G.U. n. 5 dell’8 gennaio 1997)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/28335 - Decreto del Presidente della Repubblica n. 318 del 28 luglio 1999
Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge n. 675 del 31 dicembre 1996
(GU n. 216 del 14-9-1999)
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/45703
A cura di: Emilio Souberan
D.P.O. - Docente e Formatore di Informatica, Cybersecurity e Data Protection - Innovation Manager (MISE) - IT Security & Privacy Auditor presso numerose aziende ed organizzazioni.
