Nomina dell’Amministratore di Sistema: quando e come? Il ruolo del titolare

22 settembre 2021Ultimo aggiornamento 15 ottobre 2021
  • Home
  • Blog
  • Normativa
  • Nomina dell’Amministratore di Sistema: quando e come? Il ruolo del titolare
Tempo di lettura stimato: 4'
L’Amministratore di Sistema è una figura complessa. Il suo è un ruolo estremamente importante all’interno dell’organizzazione – una sorta di custode della sicurezza dei dati - e che quindi non può essere ricoperto da chiunque. Dunque, è necessario che i titolari del trattamento selezionino soggetti che abbiano "comprovate capacità tecniche" per ricoprire questo ruolo. Una volta individuato, però, il titolare cosa deve fare? La nomina ad Amministratore di Sistema è obbligatoria? Quando deve essere fatta e quali adempimenti deve rispettare il titolare prima, durante e dopo aver scelto a chi affidare questo incarico? 

Ne parliamo in questo articolo, tratto dall’intervento dell’Avvocato Barbara Sabellico su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab. 


Nomina dell’Amministratore di Sistema: non è obbligatoria, però…

La nomina ad Amministratore di Sistema non è obbligatoria: anche questa è una scelta che va fatta in accountability. Dunque, spetta al titolare decidere se procedere o meno. Tuttavia, la persona preposta – e lo dice il Garante nel provvedimento del 27 novembre 2008 - avrà implicitamente anche quella di responsabile del trattamento interno o esterno, a seconda dei casi, perché il suo ruolo è complesso e in certi casi, anche più centrale di quello del titolare.

L’Amministratore di Sistema cosa fa? Tra i suoi compiti sono comprese attività tecniche sull'organizzazione dei flussi (salvataggio dei dati, backup, recovery) che in molti casi presuppongono un'effettiva capacità di azione su informazioni che vanno considerate alla stregua di un trattamento di dati personali. Non è un ruolo che può essere ricoperto da chiunque, ma presuppone alti livelli di responsabilità e di competenza.

Dunque, anche se la nomina non è obbligatoria, è certamente opportuna. 


Cosa deve fare un titolare quando decide di avvalersi di un Amministratore di Sistema?

Un titolare del trattamento che decide di nominare un Amministratore di Sistema quali adempimenti deve rispettare? Ha degli obblighi e delle verifiche periodiche da fare? 
Il riferimento su cui basarsi è il provvedimento del Garante del 2008: “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, con l’intento di promuovere presso Titolari e pubblico la consapevolezza della delicatezza del ruolo di “amministratore di Sistema””. 

Il provvedimento cosa ci dice? 

Ci dice che:
1 – Il titolare deve designare individualmente i singoli Amministratori di Sistema, mediante un atto che ha uno scopo preciso: elencare in maniera analitica gli ambiti di operatività, in base al profilo di autorizzazione che viene assegnato a ciascun Amministratore.

2 – Il titolare deve anche riportare in un documento interno, il Documento Programmatico di Sicurezza (che deve essere a disposizione del Garante, qualora dovesse chiederlo), gli estremi identificativi - e questo è un passaggio molto importante! - delle persone fisiche che sono designate come Amministratore di Sistema, con l'elenco delle funzioni che gli vengono attribuite.

3 – Nel caso in cui i servizi di Amministratore di Sistema siano esternalizzati, il provvedimento richiede che questo elenco possa essere conservato indifferentemente sia dal titolare che dal responsabile de trattamento.

4 – Infine, il titolare deve adottare idonei sistemi di controllo che consentano la registrazione degli accessi logici da parte degli Amministratori.
Significa che, se io titolare decido di nominare un Amministratore di Sistema, devo preoccuparmi di avere un idoneo sistema di controllo che verifichi gli accessi. Non solo, l'accesso di ogni amministratore deve essere registrato e conservato per almeno 6 mesi con tutte le sue caratteristiche - completezza, integrità, inalterabilità - e deve comprendere i riferimenti temporali e a fianco la descrizione dell'evento e il sistema che lo ha coinvolto.


E se l’Amministratore di Sistema tratta dati dei dipendenti?

Se, durante lo svolgimento del loro compiti, gli Amministratori di Sistema trattano i dati personali dei lavoratori, questi ultimi devono essere messi a conoscenza dell'identità degli amministratori ed è onere del titolare del trattamento rendere noti ai lavoratori dipendenti questo loro diritto e quindi far sapere: chi è l’Amministratore di Sistema, come tratta i loro dati e dove.

Anche se nel Regolamento non c'è un riferimento chiaro all'Amministratore di Sistema tout court, l’articolo 32 di fatto lo fa rientrare in sordina tra le misure tecniche: il titolare infatti ha una serie di compiti gravosi legati alle misure tecniche che servono per garantire il livello di sicurezza adeguato al rischio, compresa quindi la scelta di chi gestisce i sistemi. 
A questo proposito, potrebbe interessarti leggere anche: Come si scelgono gli strumenti per fare lo Smart Working (e non solo!)

E una volta che è stato nominato, va anche verificato?

Un aspetto spesso non considerato dal titolare del trattamento è questo: l'operato degli Amministratori di Sistema va sottoposto a verifica

Quindi il titolare ha un ulteriore adempimento da rispettare. Deve sottoporre a verifica - con cadenza almeno annuale - l'operato degli amministratori, per diversi motivi:
  • deve vedere se tutto quello che è stato messo in atto a livello di misure tecnico-organizzative è ancora corretto rispetto allo stato dell'arte;
  • deve verificare se, dal punto di vista aziendale, le mansioni che sono state attribuite all'amministratore di sistema, in virtù di cambiamenti che possono esserci stati all'interno dell'anno, siano ancora corrette.

Questo obbligo di verifica viene spesso disatteso, però non ci dimentichiamo che, alla luce del principio di accountability del GDPR, è un obbligo che appare rinforzato, perché il compito del titolare non finisce nel trovare l'Amministratore di Sistema e nominarlo.

Il suo compito continua con verifiche - che devono essere almeno annuali - su quello che è stato fatto per capire se è stato fatto bene o meno, se bisogna aggiustare il tiro sulle mansioni che gli ha affidato, se le istruzioni che gli ha dato sono corrette, o se erano corrette 6 mesi fa ora non lo sono più. 

Dunque, col provvedimento del 2008, il Garante ha voluto sottolineare il ruolo chiave dell'Amministratore di Sistema, collegato non solo al principio dell'accountability, ma anche alla privacy by design e alla privacy by default.  

Articolo tratto dall’intervento dell’Avvocato Barbara Sabellico su RAISE Academy.

Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Avvocato, DPO, Esperta di Privacy

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy