La definizione di amministratore di sistema contenuta nel Provvedimento 27 novembre 2008[1] indica la particolare figura professionale dotata di competenze eminentemente tecniche, specificamente preposta all’incarico di gestire o effettuare manutenzioni non occasionali sui sistemi informatici all’interno dei quali sono svolte le attività di trattamento dei dati personali da parte del titolare, ivi inclusa ad esempio la gestione database, degli applicativi o di ERP. In considerazione della necessità di un accesso con privilegi elevati per lo svolgimento dei compiti così descritti, la previsione di tale figura all’interno dell’assetto organizzativo del titolare del trattamento non può che richiamare l’esigenza di valutare e predisporre misure adeguate al fine di individuare e trattare i rischi che tali accessi, ad esempio, possano porsi al di fuori dell’effettivo controllo del titolare e comportare delle vulnerabilità di sicurezza.
All’interno del Provvedimento viene più volte rimarcato il nesso di correlazione fra l’attribuzione di funzioni tecniche e specifici privilegi ad alcuni operatori di sistema e la possibilità che gli stessi realizzino un accesso (intenzionale o fortuito) a dati personali come chiave di lettura della funzione di amministratore di sistema e fonte delle relative “Misure e accorgimenti” che il titolare deve adottare, riguardanti:
- l’individuazione, previa valutazione, dei soggetti e degli ambiti di operatività consentiti;
- la registrazione completa degli accessi (access log) e archiviazione almeno semestrale degli stessi in formato inalterabile;
- la verifica dell’attività (es. tramite analisi dei log, audit) con cadenza annuale.
Qualora l’ambito di operatività di tali soggetti riguardi i dati personali dei lavoratori sono indicati ulteriori adempimenti volti a garantire la conoscibilità di tali figure e il loro coinvolgimento nell’efficace attuazione dei presidi, quali il disciplinare interno e le politiche d’impiego della strumentazione lavorativa, in conformità sia con la normativa giuslavoristica che la normativa in materia di protezione dei dati personali[2].
Appare opportuno chiarire che l’ambito di applicazione del citato Provvedimento esclude espressamente dalla portata degli obblighi contenuti nello stesso tutti i soggetti titolari del trattamento che svolgono attività di trattamento dei dati personali per finalità amministrativo-contabili, che trattano dati personali di tipo comune o che si limitano a trattare i soli dati di categorie particolari (quali: lo stato di salute o l’adesione sindacale) dei propri lavoratori.
È bene ora ricordare che l’art. 22, c. 4 del D.lgs. 101/2018 fa espressamente salva l’applicazione dei provvedimenti del Garante purché “compatibili” con il GDPR e il decreto di adeguamento[3]. E dunque, il complesso delle misure di sicurezza individuate dal Provvedimento anche se non ha un contenuto prescrittivo di portata generale applicabile a tutti i titolari del trattamento fornisce comunque una descrizione di alcune misure di sicurezza specifiche la cui predisposizione deve comunque essere oggetto di valutazione nelle ipotesi di utenze con privilegi elevati necessarie allo svolgimento di interventi di gestione o manutenzione dei sistemi informatici.
A conferma di ciò, il Provvedimento su data breach riguardante l’Associazione Rousseau[4] ha espressamente richiamato, nella parte riguardante gli Amministratori di Sistema, proprio l’art. 32 GDPR collegandolo all’obbligo di dover provvedere al completo tracciamento degli accessi al database e alle operazioni compiute sullo stesso nonché al divieto di condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499.
[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1387522.
[3] “A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto.”.
[4] Provv. 4 aprile 2019, n. 83 del Garante.
