CITTADINI & UTENTI

GDPR, chi accede ai miei dati?

Sebbene sia pacifica la compatibilità del Provvedimento e della figura dell’Amministratore di Sistema all’interno dell’attuale quadro normativo in materia di protezione dei dati personali, è opportuno porre alcune precisazioni distinguendo le implicazioni correlate all’attribuzione di tale funzione ad un soggetto interno o esterno.

Per i soggetti interni all’organizzazione del titolare del trattamento, dal disposto dell’art. 29 GDPR (Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento), per cui:

«Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.»

e dell’art. 32, par.4 GDPR (Sicurezza del trattamento):

«Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.»

non può che emergere, in forza del generale dovere di sorveglianza derivante dal principio di responsabilizzazione, quanto meno un obbligo di predisporre misure tecniche e organizzative che:

  • individuino i soggetti con accessi di privilegio elevato;
  • definiscano le autorizzazioni agli accessi e alle operazioni consentite, fornendo le relative istruzioni
  • verifichino la rispondenza degli accessi e delle operazioni alle istruzioni svolte.

L’art. 2-quaterdecies d.lgs. 196/03 (“Attribuzione di funzioni e compiti a soggetti designati”) prevede che il titolare o il responsabile del trattamento possa, nell’ambito del proprio assetto organizzativo, attribuire specifici compiti e funzioni connessi al trattamento dei dati personali a persone fisiche espressamente designate.

Nel contesto organizzativo del titolare del trattamento, la designazione può certo considerare l’attribuzione di ulteriori compiti e responsabilità, tenendo conto del coinvolgimento dell’amministratore di sistema nel flusso informativo relativo, ad esempio, alle seguenti attività:

  • gestione dell’incidente informatico;
  • svolgimento di una valutazione d’impatto sulla protezione dei dati;
  • riesame e audit interno di sicurezza dei sistemi informatici;
  • verifica e audit di sicurezza informatica svolta nei confronti dei responsabili del trattamento;
  • attuazione e controllo dei presidi relativi all’art. 24-bis d.lgs. 231/01.

Quando il titolare sceglie invece di affidare in outsourcing i servizi di amministratore di sistema, in sede di regolazione dei rapporti con il responsabile ai sensi dell’art. 28 GDPR dovranno essere oggetto di accordo e della successiva attività di audit o verifica anche tutti gli obblighi relativi all’attività degli amministratori di sistema (ad es. gli estremi identificativi del personale preposto a svolgere tali funzioni presso il titolare, la registrazione dei log).

Concludendo, le evidenze minime richieste per la verifica del rispetto del Provvedimento (da parte del titolare o del responsabile del trattamento) devono riguardare almeno:

  • la valutazione di esperienza, capacità ed affidabilità dei soggetti designati;
  • la presenza di un elenco aggiornato dei soggetti designati amministratori di sistema;
  • la conoscibilità di tali soggetti da parte dei lavoratori;
  • la generazione degli auditable events relativamente agli access log;
  • la presenza e l’attuazione del piano annuale di verifica dell’attività.

Back to top button