Il GDPR e l’amministratore di Sistema

Cos’è, cosa fa, ma soprattutto: esiste ancora?

L’Amministratore di Sistema: questo sconosciuto

Il Garante, in una fase iniziale, lo aveva identificato come una sorta di figura preposta alle mansioni amministrative e gestionali delle reti informatiche o comunque dei sistemi di sicurezza e database: per esempio, pensiamo alla gestione centralizzata delle utenze – il classico nome utente e password -, ai database dei software gestionali o comunque a quei database che contenevano e contengono dati di tipo personale, oppure, ancora, ai sistemi di sicurezza come i firewall, che identificano la navigazione Internet o tracciano le attività di rete che provengono da un determinato client.

Questo era il primo approccio. In questa prima fase l’Amministratore di Sistema è di fatto un tecnico sistemista di rete. Quindi una figura professionale che approfondisce le competenze di un tipico tecnico hardware o software, ma soprattutto, per quanto riguarda il GDPR, le caratteristiche delle varie architetture informatiche e l’utilizzo e la condivisione di grandi quantità di dati, attraverso le reti di comunicazione, e che si occupa di ogni tipo di rete informatica: sia le reti che non accedono al web, sia le reti intranet.

E che cosa gestisce su queste reti?

  • Implementa i sistemi di sicurezza del network;
  • Definisce eventuali procedure di implementazione o di autenticazione della rete;
  • Si preoccupa delle autorizzazioni all’accesso dei dati da parte degli utenti e della conservazione dei dati attraverso soluzioni di backup;
  • Progetta attività di supporto al disaster recovery.

Quindi le attività che fa l’Amministratore di Sistema non sono poche.

L’Amministratore di Sistema è un custode e il custode non può farlo chiunque

Non è che chiunque possa fare l’Amministratore di Sistema. Il Garante ci dice, in maniera espressa, che i soggetti vanno individuati a livello di responsabilità aziendale “alta”, ma anche dal punto di vista tecnico, perché definiranno e implementeranno le misure tecniche di supervisione e controllo sull’operato del titolare:

“Cari titolari, attenzione! Quando selezionerete il vostro Amministratore di Sistema, ponete attenzione alla sua esperienza, alla sua capacità, alla sua affidabilità. Perché il ruolo che svolge è estremamente importante, anche sotto il profilo della sicurezza per quanto riguarda il trattamento del dato.”

Col provvedimento del 2008 il Garante ha voluto sottolineare il ruolo di custode dell’Amministratore di Sistema a cui aggancia il principio dell’accountability, la privacy by design e la privacy by default.

L’Amministratore di Sistema sotto la normativa GDPR

Il GDPR è una normativa procedurale, quindi si basa sull’analisi della realtà lavorativa – quella che gli inglesi chiamano workflow – in cui, di volta in volta, si vagliano i requisiti necessari, sottolineati dal titolare e dal responsabile del trattamento, per cercare di assicurare un livello di protezione dei dati adeguato alla natura del trattamento che si va a fare. È un aspetto nuovo rispetto al codice privacy e che ne stravolge la prospettiva.

Infatti, al centro del GDPR, non troviamo più solo la protezione degli interessati, ma anche la responsabilità dei titolari – e dei responsabili del trattamento aggiungo io – in merito all’adozione delle misure di sicurezza che garantiscono anche la riservatezza dei dati.

Quindi l’Amministratore di Sistema deve poter svolgere in maniera corretta questo compito, che non è di facile svolgimento.

Il provvedimento del Garante ci dice inoltre che la persona preposta avrà implicitamente anche quella di responsabile del trattamento interno o esterno, a seconda dei casi. Infatti, il provvedimento parla delle attività tecniche sull’organizzazione dei flussi – quali il salvataggio dei dati, come backup e recovery – e in molti casi queste tecniche presuppongono un’effettiva capacità di azione su informazioni che vanno considerate alla stregua di un trattamento di dati personali.

È obbligatorio nominarlo?

Non è obbligatoria la nomina, perché, già nel 2008, lo scopo del provvedimento era uno scopo di accountability. Quindi il Garante dice: “Caro titolare, io non ti obbligo a nulla. Decidi tu, in base allo stato dell’arte, cosa fare.”

Se però mi si chiede: è opportuno nominarlo?

Io debbo dire di sì.

 

Articolo tratto dall’intervento dell’Avvocato Barbara Sabellico su RAISE Academy, riproduzione parziale.

Fonte ufficiale: PrivacyLab