Tempo di lettura stimato: 5'
Amministratore di Sistema: cos’è? Non esiste una definizione univoca di questa figura e non c'è mai stata, né da quando abbiamo iniziato a parlare di privacy, né dopo il GDPR.
L’Amministratore di Sistema: questo sconosciuto
Il Garante, in una fase iniziale, lo aveva identificato come una sorta di figura preposta alle mansioni amministrative e gestionali delle reti informatiche o comunque dei sistemi di sicurezza e database: per esempio, pensiamo alla gestione centralizzata delle utenze – il classico nome utente e password -, ai database dei software gestionali o comunque a quei database che contenevano e contengono dati di tipo personale, oppure, ancora, ai sistemi di sicurezza come i firewall, che identificano la navigazione Internet o tracciano le attività di rete che provengono da un determinato client.
Questo era il primo approccio. In questa prima fase l'Amministratore di Sistema è di fatto un tecnico sistemista di rete. Quindi una figura professionale che approfondisce le competenze di un tipico tecnico hardware o software, ma soprattutto, per quanto riguarda il GDPR, le caratteristiche delle varie architetture informatiche e l'utilizzo e la condivisione di grandi quantità di dati, attraverso le reti di comunicazione, e che si occupa di ogni tipo di rete informatica: sia le reti che non accedono al web, sia le reti intranet.
E che cosa gestisce su queste reti?
- Implementa i sistemi di sicurezza del network
- Definisce eventuali procedure di implementazione o di autenticazione della rete
- Si preoccupa delle autorizzazioni all'accesso dei dati da parte degli utenti e della conservazione dei dati attraverso soluzioni di backup
- Progetta attività di supporto al disaster recovery
Quindi le attività che fa l'Amministratore di Sistema non sono poche.
In più, non è neanche una figura recente.
È una figura di cui si parlava già nel 1999…
Quando iniziamo a parlare di Amministratore di Sistema?
Dal 1999. Quindi non è una figura che è comparsa così, all'improvviso.
E nel '99 veniva definito così:
“Soggetto al quale è conferito il compito di sovraintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione." (art. 1, comma 1, lett. C) DPR 318/1999)
Già allora, solo da questa definizione, ci rendiamo conto che il legislatore evidenziava nella figura dell’Amministratore di Sistema delle specificità professionali che erano mirate a consentire la protezione dei dati e la sicurezza degli stessi.
Ma, nel 2003, l’Amministratore di Sistema sparisce.
Sembra andare nell'oblio.
Poi, fa un po' come Lazzaro: resuscita all’improvviso.
Dopo l’oblio, la risurrezione dell’Amministratore di Sistema
L’Amministratore di Sistema torna prepotentemente alla ribalta con il famoso provvedimento del 27 novembre 2008:
“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, con l’intento di promuovere presso Titolari e pubblico la consapevolezza della delicatezza del ruolo di “amministratore di Sistema””.
Questo è un passaggio estremamente importante perché, con il provvedimento del 27 novembre 2008, il Garante richiama l'attenzione sulla necessità di porre molta attenzione ai rischi relativi alla gestione dei dati personali e alle criticità legate alle misure di sicurezza che vengono adottate quando si svolge questa attività.
Perché adottare questo provvedimento?
Perché, nel 2008, il Garante, a seguito delle varie ispezioni fatte, aveva evidenziato un aspetto: c'era scarsa consapevolezza da parte delle organizzazioni - grandi o piccole che fossero - rispetto a quello che era l'Amministratore di Sistema e c’era una preoccupante sottovalutazione dei rischi che potevano derivare, quando l'attività di questi esperti veniva svolta senza il necessario controllo.
Nasce l’accountability
Quindi, nel 2008, il Garante, in forma assolutamente silente, iniziava a piantare il seme dell'accountability, perché diceva: "Signori, attenzione, quando mando i miei a casa vostra, per verificare quello che sta succedendo e trovo l'Amministratore di Sistema, spesso la figura o è utilizzata in maniera non corretta o in maniera distorta, perché non c'è consapevolezza." Comincia a interrogarsi sul livello di consapevolezza del titolare.
Decide allora di dare rilievo, all'interno del sistema della gestione privacy aziendale, al ruolo dell'Amministratore di Sistema, perché questa figura è estremamente importante e impone ai titolari del trattamento la selezione di soggetti che abbiano le famose "comprovate capacità tecniche".
L’Amministratore di Sistema è un custode e il custode non può farlo chiunque
Non è che chiunque possa fare l'Amministratore di Sistema. Il Garante ci dice, in maniera espressa, che i soggetti vanno individuati a livello di responsabilità aziendale "alta", ma anche dal punto di vista tecnico, perché definiranno e implementeranno le misure tecniche di supervisione e controllo sull'operato del titolare: “Cari titolari, attenzione! Quando selezionerete il vostro Amministratore di Sistema, ponete attenzione alla sua esperienza, alla sua capacità, alla sua affidabilità. Perché il ruolo che svolge è estremamente importante, anche sotto il profilo della sicurezza per quanto riguarda il trattamento del dato.”
Col provvedimento del 2008 il Garante ha voluto sottolineare il ruolo di custode dell'Amministratore di Sistema a cui aggancia il principio dell'accountability, la privacy by design e la privacy by default.
Finalmente, il nuovo Amministratore di Sistema
Vediamo ora la figura attuale: l’Amministratore sotto la normativa GDPR.
Il GDPR è una normativa procedurale, quindi si basa sull’analisi della realtà lavorativa - quella che gli inglesi chiamano workflow - in cui, di volta in volta, si vagliano i requisiti necessari, sottolineati dal titolare e dal responsabile del trattamento, per cercare di assicurare un livello di protezione dei dati adeguato alla natura del trattamento che si va a fare. È un aspetto nuovo rispetto al codice privacy e che ne stravolge la prospettiva.
Infatti, al centro del GDPR, non troviamo più solo la protezione degli interessati, ma anche la responsabilità dei titolari – e dei responsabili del trattamento aggiungo io - in merito all'adozione delle misure di sicurezza che garantiscono anche la riservatezza dei dati.
Quindi l'Amministratore di Sistema deve poter svolgere in maniera corretta questo compito, che non è di facile svolgimento.
Il provvedimento del Garante ci dice inoltre che la persona preposta avrà implicitamente anche quella di responsabile del trattamento interno o esterno, a seconda dei casi. Infatti, il provvedimento parla delle attività tecniche sull'organizzazione dei flussi - quali il salvataggio dei dati, come backup e recovery - e in molti casi queste tecniche presuppongono un'effettiva capacità di azione su informazioni che vanno considerate alla stregua di un trattamento di dati personali.
Quindi l'amministratore di sistema esiste ancora o no?
Dalla ricostruzione fatta sin qui arriviamo alla conclusione che è una figura attualmente vigente e probabilmente anche la fusione, a livello ispettivo, del nucleo privacy e del nucleo sicurezza informatica, ci dà un segnale forte su come l’Amministratore di Sistema sia attualmente forse più importante dello stesso titolare, in alcuni momenti.
Gli attacchi informatici degli ultimi tempi ne sono un esempio importante.
Quante aziende hanno subito attacchi?
Quante di queste hanno l'Amministratore di Sistema che implementa anche misure di cybersecurity? La differenza di approccio si vede, tra quelle che ce l’hanno e quelle che non ce l'hanno.
È obbligatorio nominarlo?
Non è obbligatoria la nomina, perché, già nel 2008, lo scopo del provvedimento era uno scopo di accountability. Quindi il Garante dice: "Caro titolare, io non ti obbligo a nulla. Decidi tu, in base allo stato dell'arte, cosa fare."
Se però mi si chiede: è opportuno nominarlo?
Io debbo dire di sì.
Articolo tratto dall’intervento dell’Avvocato Barbara Sabellico su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.