Approfondiamo la figura dell’amministratore di sistema: chi è, quali sono le sue responsabilità, i criteri per la sua nomina e la verifica del suo operato. Includiamo un fac-simile di lettera di nomina.

L’amministratore di sistema – Premessa

Tra i soggetti preposti agli adempimenti in materia di Codice per la protezione dei dati personali (D.Lgs. 196/2003) vi è l’amministratore di sistema.

Una figura di notevole importanza alla luce degli specifici ed appropriati provvedimenti che il Garante per la protezione dei dati personali ha adottato, in particolare, nel corso del 2008 e del 2009 ad implementazione della normativa già esistente.

Dalla definizione alla nomina, dai compiti alle responsabilità, si riporta quanto già definito e sancito dalla normativa vigente, proponendo, in allegato, un modello di incarico il quale potrà essere adattato alle esigenze concrete dell’azienda.

Definizione di Amministratore di Sistema

L’autorità del Garante per la Privacy nel provvedimento del 27 Novembre 2008, intitolato dell’”Amministratore di Sistema”, implementato con quello successivo del 25 Giugno 2009, in merito alla definizione ha chiarito che

“in assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del Garante l’amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Il Garante non ha inteso equiparare gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, con gli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.

Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell’atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software”.

Criteri per la nomina dell’amministratore di sistema

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia della conoscenza nonché del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza informatica.

Anche quando le funzioni di amministratore di sistema o di quelle assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice (ovvero D.Lgs. n. 196/2003), il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

La designazione quale amministratore di sistema deve essere in ogni caso individuale e deve recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Nel caso in cui nella medesima azienda vi siano più amministratori allora gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.

Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice della Privacy nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (i.e., intranet aziendale, ordini di servizio a circolazione interna o bollettini); fatti salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa sulla scorta di un’eventuale disposizione di legge che disciplini in modo difforme uno specifico settore.

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Verifiche dell’operato dell’amministratore di sistema

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Considerazioni finali.

Le funzione proprie dell’amministratore di sistema, ovvero il salvataggio e ripristino dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione delle credenziali di accesso informatico, il coordinamento dei soggetti ad egli sottoposti (custode delle password, l’incaricato al trattamento dei dati personali, etc…), la gestione dei supporti di memorizzazione e tutte le altre attività previste (vedasi lettera di incarico richiedono non solo conoscenze ma anche capacità in ambito informatico oltre che in merito alla normativa sulla privacy.

L’amministratore di sistema ha, inoltre, un ruolo importante, in merito ai controlli da eseguirsi contro i possibili abusi di natura informatica.

Il suo profilo, infine, è disciplinato dal Codice per la protezione dei dati personali per ciò che concerne l’ambito operativo, ma anche dal codice penale dal punto di vista delle responsabilità (cfr. artt. 615-ter, 635 bis, ter quarter, quinques, 640).

Facsimile di “Lettera di nomina dell’Amministratore di Sistema”

Intestazione azienda………….……. Via …………………….……nr. ….. CAP……. Città……….…. Prov. …. Tel/Fax…………….………………. P.Iva……………Cod. Fisc……..….. Sito Web…………E@mail……………

Egr. Sig. ……..……………… Via ……………….……. Nr…. CAP…….Città……..Prov…

Oggetto: nomina alla funzione di “Amministratore di Sistema”.

In riferimento al rapporto di lavoro con Ella instaurato in data …………., con matricola aziendale nr. …., con la qualifica di ………………. e mansione di ……………., in ossequio al Contratto di Lavoro applicato e rilevati il suo ruolo e funzioni all’interno dell’azienda, premesso che:

l’azienda ha proceduto agli adempimenti di cui al D. Lgs. N, 196 del 30 Giugno 2003;
l’azienda si deve uniformare secondo quanto stabilito nell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”;
la S.V. nell’ambito della sua attività svolge funzioni attinenti con il trattamento dei dati;
la S.V. è stata oggetto di previa valutazione delle competenze, capacità ed esperienza in merito al trattamento dei dati personali nonché all’applicazione della normativa sulla privacy, così come sancito dall’Autorità del Garante per la protezione dei dati personali, nei provvedimenti del 27 Novembre 2008 e 25 Giugno 2009.

Tanto premesso Le viene conferito l’incarico di cui è cenno in oggetto a far data dal giorno di sottoscrizione corrente e fino a revoca del titolare del trattamento o dimissioni della S.V..

Per effetto dell’accettazione dell’incarico la S.V. dovrà assolvere ad i seguenti compiti:

verifica periodica del rispetto nonché dell’adozione delle idonee misure minime di sicurezza per il trattamento dei dati personali, previste dall’art. 34 del D. Lgs. n. 196/2003, e dal Disciplinare tecnico, allegato B) al decreto legislativo medesimo, da parte dell’azienda, provvedendo ad eseguire gli adeguamenti e/o gli interventi necessari;
fornitura al titolare del trattamento dei dati tutte le indicazioni ai fini dell’adozione e/o dell’aggiornamento delle più ampie misure di sicurezza atte a realizzare quanto previsto dall’art. 31 del D. Lgs. n. 196/2003, intitolato degli “Obblighi di sicurezza”;
individuare a mezzo di apposita comunicazione scritta il o gli eventuali soggetti che dovranno assumere la funzione di “custode della password”;
vigilare sull’attività svolta dal “custode della password”;
individuare per iscritto gli altri soggetti, che pur non avendo la funzione di “custode della password” si trovano ad utilizzare credenziali di accesso;
predisporre e gestire un sistema aziendale di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici, secondo quanto sancito dai punti da 1 a 10 del Disciplinare tecnico, allegato B) al D. Lgs. n. 196/2003;
predisporre e gestire un sistema di autorizzazione per i soggetti incaricati del trattamento dei dati personali effettuati con strumenti elettronici, secondo quanto sancito dai punti da 12 a 14 del Disciplinare tecnico, allegato B) al D. Lgs. n. 196/2003;
sovrintendere agli aggiornamenti dei sistemi di autorizzazione di cui al punto precedente;
procedere, con cadenza almeno semestrale, al monitoraggio nonché all’aggiornamento dei sistemi di protezione degli elaboratori elettronici, software e base di dati da eventuali attacchi esterni ( virus, danneggiamenti vari );
aggiornare, con cadenza almeno annuale, i programmi volti a prevenire la vulnerabilità degli strumenti elettronici;
aggiornare, con cadenza almeno semestrale, i programmi volti a prevenire la vulnerabilità degli strumenti elettronici che gestiscono dati sensibili e/o giudiziari;
impartire, con ogni strumento idoneo ( anche con comunicazioni scritte ) a tutti gli incaricati le istruzioni organizzative e le tecniche atte ad eseguire il salvataggio dei dati con cadenza almeno settimanale;
adottare ed eseguire fattivamente tutte le procedure idonee per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
procedere all’aggiornamento annuale, ovvero entro il 31 marzo di ogni anno, del Documento Programmatico sulla Sicurezza ai sensi di quanto sancito dal punto 19 del Disciplinare tecnico, allegato B) al D. Lgs. n. 196/2003;
predisporre un piano di controlli periodici rivolto a rilevare l’efficacia e l’idoneità delle misure di sicurezza adottate, riportando le risultanze mediante apposita relazione scritta; tale procedura dovrà eseguirsi con cadenza almeno annuale.

Si rammenta che la S.V. dovrà riferire al Titolare del trattamento dei dati, con cadenza mensile, circa il suo operato nonché dell’assolvimento dei suoi doveri.

Pertanto, in virtù dell’incarico conferitoLe, sarà sua precisa cura procedere al trattamento dei dati nonché all’assolvimento delle sue funzioni secondo liceità e correttezza e che il medesimo trattamento avvenga entro i limiti sanciti dalla normativa vigente di settore; la S.V. dovrà essere edotta sulle responsabilità e penalità scaturenti da ogni attività contraria alle norme di legge.

Luogo e data

Allegati: