Un provvedimento dell’Autorità Garante della Privacy del 2008 e successiva modifica nel 2009, ha introdotto il ruolo dell’Amministratore di Sistema, definendolo come “la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione nei quali vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati (database), i sistemi software complessi quali ad esempio i sistemi ERP (Enterprise Resource Planning) utilizzati in grandi aziende e organizzazioni, o ancora la gestione e manutenzione di sistemi destinati agli accessi delle reti locali e ai sistemi di sicurezza informatica, nella misura in cui consentano di intervenire sui dati personali”.
Il GDPR entrato in vigore nel 2018, però, non ne fa menzione. Eppure il Provvedimento del 2008 in buona compagnia con tutti gli altri provvedimenti emanati negli anni dalla nostra autorità garante Privacy, non sono stati abrogati o sostituiti dal Regolamento EU 679/2016; al contrario gli stessi sono ancora pienamente validi ed applicabili, ed in questo specifico caso, confermando l’attuale presenza della figura dell’AdS.
Il suo ruolo, seppur prettamente tecnico, è particolarmente delicato per la possibilità di accedere ad ogni tipologia di dati contenuta nei sistemi aziendali e spesso si interseca con gli aspetti di sicurezza dei dati e di cyber security.
Ma vediamo come dovrebbe venire gestita questa funzione all’interno delle aziende e quali sono le principali criticità che il Responsabile della Protezione Dati, piuttosto che il Titolare del Trattamento Dati, incontrano nell’individuazione, gestione e controllo di questa risorsa.
Amministratore di Sistema NEI CONFRONTI DEL DPO E/O TITOLARE DEL TRATTAMENTO DATI
Prima di tutto vale la pena ricordare, seppur può sembrare scontato, che il ruolo di AdS e di DPO non possono essere assunti dalla stessa persona, perché questo è in palese contrasto con le indicazioni del Regolamento Europeo e della Autorità Garante (conflitto di interessi da evitare). Si tratta di due figure distinte, che collaborano, ma è responsabilità del DPO sorvegliare sull’operato dell’AdS, nei suoi incontri periodici e riportare al titolare eventuali anomalie riscontrate. Piuttosto che è responsabilità del Titolare del Trattamento Dati, anche nelle situazioni laddove non sia neccessaria la presenza di un DPO, verificare con una periodicità almeno annuale (periodo congruo stabilito dal Garante), l’operato dell’AdS.
Tra i principali temi della sorveglianza da parte del DPO vi è senz’altro:
- la verifica/applicazione delle patch di sicurezza ai sistemi aziendali ed eventuali soluzioni cloud;
- la verifica periodica del funzionamento dei backup e dei test di ripristino dati;
- la verifica del corretto uso di sistemi informatici da parte del personale e la relativa gestione dei permessi;
- il controllo dei log generati dai sistemi, che spesso sono richiesti in sede di ispezione o ad integrazione di attività investigativa a seguito di Data Breach.
- la verifica che l’Ads sia individuato internamente (scelta preferibile) o esternamente all’azienda, con opportuna nomina circostanziata, che formalizzi i compiti assegnati e le deleghe in carico e riporti precise istruzioni, compreso l’audit annuale previsto dalla normativa.
Obbligo del Titolare del Trattamento Dati è quello di verificare almeno una volta all’anno il log degli accessi da parte dei vari AdS verificandone la congruità. Tutto ciò richiede un sistema relativamente semplice da consultare, grafico ed in alcuni casi per trattamenti particolarmente critici, l’applicazione di funzionalità come l’immodificabilità ed il non ripudio del log raccolto.
Attenzione al caso di AdS non direttamente assunti dal Titolare del Trattamento Dati: non essendoci un rapporto di lavoro diretto ma indiretto attraverso un’azienda esterna che rilascia all’azienda cliente, servizi ICT, il Titolare dell’azienda cliente trovandosi difronte ad una nomina ad personam (cioè nomina da farsi nei confronti di una persona fisica), non potrà eleggere direttamente l’AdS, ma dovrà ricevere tale nomina evasa dall’azienda fornitrice che ha un rapporto diretto con il suo dipendente AdS presso l’azienda cliente. Le basi di tale nomina dovranno essere sviscerate sul rispetto di un preciso mansionario che l’Azienda Cliente dovrà sottoporre e chiederne la condivisione, all’Azienda ICT forntrice del servizio e del personale nel ruolo di Amministratore di un preciso Sistema.
Amministratore di sistema interno o esterno?
Bisogna prestare particolare attenzione al caso in cui si decida di affidare l’incarico ad un’azienda fornitrice di servizi ICT, una situazione questa che lascia più di un dubbio anche in virtù delle responsabilità che il dipendente della società esterna andrebbe ad assumere a titolo personale verso la società cliente. Cosa quest’ultima non possibile in quanto come abbiamo sopra precisato, l’azienda cliente, non avendo un rapporto diretto di lavoro con tale persona non ha la possibilità di mansionarlo direttamente. Un incarico diretto del Titolare del Trattamento (quale azienda cliente) nei confronti di un dipendente di un’azienda fornitrice di servizi ICT, si presta ad essere invalidato fin da subito.
Ancora più critica la scelta di alcune aziende di nominare come AdS, tutti (o quasi) i soggetti di area IT interni all’azienda, senza alcuna differenziazione nella nomina sottoscritta: in questo caso il rischio di indeterminazione a livello di responsabilità è alto.
Come vediamo le variabili sono molte, anche in funzione della complessità dell’azienda, ma considerato l’aumento di importanza del comparto IT all’interno delle aziende, e l’entrata in vigore del GDPR nel 2018, il ruolo necessiterebbe oggi di una nuova interpretazione.
Ciò che è certo, è che la nomina formale degli AdS non esime la responsabilità del titolare, ed eventualmente del DPO, di valutare i rischi e relative contromisure, leggi anche Misure Idonee Tecnologiche ed Organizative da prendere (art. 32 del GDPR) per l’opportuna difesa nel trattamento dei dati personali.
È sempre il Titolare del Trattamento Dati a dover rispondere di un eventuale Data Breach e tali responsabilità non possono essere scaricate ad un’azienda esterna, neppure se questa nominata (a volte erroneamente) Responsabile del Trattamento Dati, si trova nella situazione di avere dei propri dipendenti ad amministrare i sistemi ICT dell’azienda cliente.
Troppo spesso registriamo situazioni in cui le aziende clienti, nel ruolo di Titolare del Trattamento, sono tentate di scaricare all’azienda esterna fornitrice di servizi ICT, la responsabilità di individuare ed adempire all’implementazione delle Misure Idonee.
Niente di più sbagliato per gli ovvi motivi sopra spiegati e per quanto previsto nella stessa normativa.
Lan & Wan Solutions non si limita a fornire servizi ICT, ma nei suoi servizi professionali ha un portafoglio di offerte anche per quanto concerne la consulenza tecnico-legale, che garantisce al cliente la corretta interpretazione ed applicazione dei dati cogenti sugli impianti realizzati o su quelli da realizzare.
