Sebbene sia pacifica la compatibilità del Provvedimento e della figura dell’Amministratore di Sistema all’interno dell’attuale quadro normativo in materia di protezione dei dati personali, è opportuno porre alcune precisazioni distinguendo le implicazioni correlate all’attribuzione di tale funzione ad un soggetto interno o esterno.
Per i soggetti interni all’organizzazione del titolare del trattamento, dal disposto dell’art. 29 GDPR (Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento), per cui:
«Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.»
e dell’art. 32, par.4 GDPR (Sicurezza del trattamento):
«Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.»
non può che emergere, in forza del generale dovere di sorveglianza derivante dal principio di responsabilizzazione, quanto meno un obbligo di predisporre misure tecniche e organizzative che:
- individuino i soggetti con accessi di privilegio elevato;
- definiscano le autorizzazioni agli accessi e alle operazioni consentite, fornendo le relative istruzioni
- verifichino la rispondenza degli accessi e delle operazioni alle istruzioni svolte.
L’art. 2-quaterdecies d.lgs. 196/03 (“Attribuzione di funzioni e compiti a soggetti designati”) prevede che il titolare o il responsabile del trattamento possa, nell’ambito del proprio assetto organizzativo, attribuire specifici compiti e funzioni connessi al trattamento dei dati personali a persone fisiche espressamente designate.
Nel contesto organizzativo del titolare del trattamento, la designazione può certo considerare l’attribuzione di ulteriori compiti e responsabilità, tenendo conto del coinvolgimento dell’amministratore di sistema nel flusso informativo relativo, ad esempio, alle seguenti attività:
- gestione dell’incidente informatico;
- svolgimento di una valutazione d’impatto sulla protezione dei dati;
- riesame e audit interno di sicurezza dei sistemi informatici;
- verifica e audit di sicurezza informatica svolta nei confronti dei responsabili del trattamento;
- attuazione e controllo dei presidi relativi all’art. 24-bis d.lgs. 231/01.
Quando il titolare sceglie invece di affidare in outsourcing i servizi di amministratore di sistema, in sede di regolazione dei rapporti con il responsabile ai sensi dell’art. 28 GDPR dovranno essere oggetto di accordo e della successiva attività di audit o verifica anche tutti gli obblighi relativi all’attività degli amministratori di sistema (ad es. gli estremi identificativi del personale preposto a svolgere tali funzioni presso il titolare, la registrazione dei log).
Concludendo, le evidenze minime richieste per la verifica del rispetto del Provvedimento (da parte del titolare o del responsabile del trattamento) devono riguardare almeno:
- la valutazione di esperienza, capacità ed affidabilità dei soggetti designati;
- la presenza di un elenco aggiornato dei soggetti designati amministratori di sistema;
- la conoscibilità di tali soggetti da parte dei lavoratori;
- la generazione degli auditable events relativamente agli access log;
- la presenza e l’attuazione del piano annuale di verifica dell’attività.
