La figura dell’Amministratore di sistema era stata già introdotta nella disciplina previgente al Codice Privacy, specificatamente dall’art. 1, comma 1, lett. c) del D.P.R. 318/1999, quale soggetto “al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l´utilizzazione“, con una forte connotazione, dunque, di tipo tecnico e un ruolo fondamentalmente finalizzato a garantire la sicurezza dei sistemi e delle infrastrutture informatiche, nonché alla gestione e alla manutenzione di banche dati e flussi di rete.
Il successivo c.d. Codice Privacy, D. Lgs 30 giugno 2003, n. 196, in vigore dal 1º gennaio 2004, pur non includendo tra le proprie definizioni normative quella di “amministratore di sistema” ha messo in evidenza il rapporto tra tale professionista ed il Titolare del trattamento dei dati. L’art. 30 del Codice stabilisce, difatti, che gli incaricati agiscono sotto la diretta autorità del Titolare o del Responsabile del trattamento rispettando e mettendo in pratica le istruzioni da questi impartite, anche in merito alle misure di sicurezza (riportate all’art.33 del Codice).
Punto di svolta è rappresentato dal Provvedimento adottato dal Garante della Privacy il 27 novembre 2008, poi modificato nel giugno 2009, in merito alle “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. Nel testo gli amministratori di sistema sono individuati in maniera ampia come figure professionali finalizzate “alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti” a cui vengono equiparate altre figure che , allo stesso modo, condividono nello svolgimento dei loro incarichi il rischio del trattamento dei dati ovvero gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Il Garante sottolinea come gli amministratori di sistema, nelle loro consuete attività, siano “concretamente responsabili di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati” mettendo in evidenza come il complesso delle operazioni da questi posti in essere dalla “realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali, fino alla gestione dei sistemi di autenticazione e di autorizzazione” metta in rilievo non solo il profilo della richiesta capacità tecnica del system administrator, ma anche la natura fiduciaria dell’incarico stesso.
Nel provvedimento, infatti, viene chiarita come la valutazione del soggetto a cui attribuire le funzioni di amministratore di sistema debba riguardare sia le caratteristiche tecniche che soggettive previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato. Si specifica, inoltre, che la designazione deve, in ogni caso, essere individuale e recare “l’elencazione analitica degli ambiti di operatività consentiti” e che l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento. Emerge, dunque, anche un importante duplice profilo di responsabilità in capo al Titolare, da un lato definibile quale c.d. culpa in eligendo in caso di incauta designazione di un soggetto non competente, dall’altro definibile quale c.d. culpa in vigilando ove omettesse di dare corso ai propri obblighi di controllo e monitoraggio sull’attività del professionista incaricato.
Le novità introdotte dal GDPR
Proprio il tema dell’ “accountability” diviene centrale nel GDPR (Regolamento UE 679/2016) in relazione alle misure tecniche ed organizzative finalizzate a garantire la sicurezza dei trattamenti, nonché ad assicurarne riservatezza, integrità e disponibilità.
La gestione di un sistema informatico sempre più complesso si caratterizza per la sua dinamicità nonché per la capacità di fornire implementazioni e modifiche che gli permettano di adeguarsi ai mutamenti tecnici ed alle specificità dei dati trattati. In tale prospettiva diviene, dunque, fondamentale il ruolo dell’amministrazione di sistema che sarà chiamato, a svolgere mansioni quali la codificazione e l’organizzazione delle banche dati presenti in azienda, l’impostazione e la gestione sia del sistema di autenticazione informatica per i trattamenti di dati personali con password per l’accesso al sistema informativo sia ai sistemi di autorizzazione all’accesso sui server aziendali (con sistemi di registrazione e log-in), la predisposizione gestione e verifica del funzionamento dei sistemi di recovery e ripristino dei dati (backup) e dei sistemi di protezione dei dati personali (antivirus, firewall, sistemi software, penetration test), l’organizzazione dei flussi di rete, la manutenzione hardware, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi ( come accessi abusivi al sistema informatico o telematico, frode, danneggiamento di informazioni, dati o sistemi, data breach).
Oltre le indicate mansioni l’amministratore di sistema sarà anche chiamato a cooperare attivamente e collaborare con il titolare del trattamento o, ove presente, con il DPO sia nella stesura della policy aziendale relativa all’uso ed alla gestione delle attrezzature informatiche in azienda, sia nella redazione dei documenti da inserire nel registro delle violazioni (nonché utili al Garante) in caso di data breach (art. 33 GDPR).
Tali indicazioni vanno certamente lette alla luce del combinato disposto degli artt. 25 e 32 del Regolamento UE, dal quale emerge come il Titolare del trattamento e per esso il Responsabile, tenendo conto “dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento” mettono in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, rischio inteso quale “varia probabilità e gravità per i diritti e le libertà delle persone fisiche costituiti dal trattamento”. A tal proposito vengono specificati due importanti concetti: il primo è quello della privacy by default e by design ovvero la predisposizione delle misure di garanzia e sicurezza “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, quindi sia ex ante che ex post; il secondo riguarda il concetto di adeguatezza delle misure adottate. Dall’analisi del testo dell’art. 25 GDPR si rileva come tale concetto di adeguatezza delle misure sia correlato dal legislatore a due aspetti: da un lato all’efficacia dei “principi di protezione dei dati”, attraverso l’utilizzazione dunque di strumenti di pseudonimizzazione e minimizzazione, dall’altro all’esigenza di “integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”. Alla luce di tutto quanto riportato appare chiaro come la figura dell’Amministratore di sistema sia strettamente correlata a quella del Titolare del trattamento dal quale riceve l’incarico fiduciario e le indicazioni e alla cui verifica il suo operato è sottoposto. Emerge, inoltre, come la valutazione dell’adeguatezza e dell’idoneità delle misure di sicurezza poste in essere sia sempre da riferirsi alle finalità specifiche del trattamento dei dati posto in essere dal Titolare nell’ambito delle attività svolte ed al rispetto delle disposizioni del GDPR.