CITTADINI & UTENTI

Amministratori di Sistema! Chi sono costoro? Che ancora esistono e persistono, alla luce del GDPR. Scopriamo come si ammoderna il noto Provvedimento del Garante

Qualcuno di ben più famoso di noi, tanti anni orsono, scrisse “Carneade! Chi era costui?”. Lasciandoci attrarre da questa celebre espressione che tutti ricordiamo, di manzoniana memoria, vogliamo approfondire brevemente, il tema degli Amministratori di Sistema. Son trascorsi dodici anni da quando il Garante si era posto il problema di queste figure tecniche, le quali pur presenti non figuravano tanto meno giuridicamente. Fu così che trovò emanazione il Provvedimento [doc. web n. 1577499], ancor’oggi attuale, importante e talvolta discusso. Vediamo allora come il GDPR offra spunti di riflessione su questo storico Provvedimento.

Il Provvedimento

Il Provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008 (pubblicato financo in G.U. n. 300 del 24 dicembre 2008), introduceva un tema molto importante relativamente alle fantomatiche figure degli Amministratori di Sistema (di seguito per brevità AdS), fornendo interpretazioni e indicazioni su come gestire in modo corretto le attività.

Il Provvedimento partiva dallo stabilire chi sono gli Amministratori di Sistema (ADS), dovendosi per questi intendere «…in ambito informatico, le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti» nonchè «…anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.».

Poi, al punto 4, indicava che per gli AdS vada effettuata una:

  1. Valutazione delle caratteristiche soggettive (4.1);
  2. Designazione individuale (4.2);
  3. Elencazione (4.3);
  4. Verifica delle loro attività (4.4);
  5. Registrazione degli accessi o access log (4.5).

Il contesto storico e le questioni allora sollevate

Il Provvedimento è sorto in un preciso momento storico allorquando l’Autorità Garante, se da un lato aveva inteso fornire precise indicazioni sulle misure tecniche da adottare (Allegato B. Disciplinare Tecnico in materia di Misure Minime di Sicurezza – D.LGS. 196/03 Artt. da 33-36), dall’altro aveva piena contezza della “potenziale” pericolosità di soggetti i quali, essendo in grado di “amministrare” i sistemi, potessero facilmente aggirare tali misure di sicurezza. 

Vi è da dire che stante l’importanza che assunse tale Provvedimento (unico nel suo genere/portata), non di meno venne molto discusso, specie in relazione alla raccolta dei log di accesso.

Al riguardo, le FAQ dell’Autorità chiarirono come questa dovesse riguardare:

  1. solo gli ADS;
  2. solo i login, logout e tentativi di login;
  3. tutti i sistemi informatici;
  4. garantendone l’inalterabilità;
  5. conservandoli per mesi 6.

Gli squisiti tecnici “insorsero”, schierandosi in sostanza su due linee di pensiero: quelli che ritenevano poco utile tracciare solo gli accessi, e quelli che, più in generale, criticavano la necessità di ricorrere a sistemi costosi per soddisfare i requisiti del Provvedimento.

Le soluzioni di log management

Il mercato fu allora invaso da soluzioni più o meno “improbabili”; i produttori di ottime soluzioni di log cercarono di “propinare” i loro prodotti come idonei e rispondenti al Provvedimento, salvo poi dimostrarsi del tutto inadeguati.

La chiave di volta della questione fu nella FAQ 10 la quale testualmente recita: «Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto.».

Con l’evoluzione tecnologica, la raccolta log effettuata naturaliter dai sistemi avvenne in modo sempre più ampio rispetto a quanto richiesto dal Provvedimento, rischiando di entrare in contrasto o superamento (anche per l’effetto delle successioni di leggi nel tempo) con altre norme e leggi, fino a ricadere in extrema ratio con un “controllo a distanza” in palese violazione della Legge 300/1970 cd Statuto dei Lavoratori.

La raccolta deve pertanto essere in grado di “filtrare” i soli log degli AdS, sì evitando che le attività dei normali operatori siano soggette ai controlli.

Una raccolta più ampia comporta, inoltre, l’approvazione delle rappresentanze sindacali e/o (in loro assenza) della Direzione Provinciale del Lavoro di competenza: questione questa che ha significativamente frenato chi desiderava avventurarsi in misure tecniche ben più consistenti.

Cosa e come ha modificato il GDPR?

L’entrata in vigore del Regolamento UE 2016/679 meglio noto come GDPR, e vieppiù il D.Lgs. 101/2018 chiamato ad armonizzare il Codice della Privacy (D. Lgs. 2003/196) alle indicazioni del GDPR appunto, hanno introdotto per il vero un innovativo punto di vista in merito alla figura degli AdS.

É bene rammentare per inciso che il provvedimento non è stato affatto abrogato restando in vigore; tuttavia, occorre valutarlo magari sotto altri aspetti/nuovi punti di s)vista.

In primis, una nuova visione delle misure di sicurezza da adottare, che da “imposte” tramite un allegato, diventano da “determinare”, sulla base di attente valutazioni che il Titolare del trattamento coinvolto è tenuto ad effettuare.

Ciò determina che la raccolta dei log possa essere anche più ampia, purché tale necessità sia in piena accountability (da dimostrare), e senza violare alcunché dello Statuto dei lavoratori.

Analogamente i tempi di conservazione dei log possono anche essere più dilatati, fermo restando i principi di minimizzazione e limitazione della data retention.

GDPR compliant

A complicare la questione — come se non bastasse— ci si mette la normativa GDPR. Come noto, il Regolamento non cita espressamente (e forse volutamente) gli AdS, ma si limita a richiamarli attraverso altri addentellati normativi primo fra tutti l’art. 32. Non solo, anche l’art. 28 li evoca in qualche modo; specie allorché, nel pretendere la corretta qualificazione giuridica tra le parti (Titolare-Responsabile del trattamento) ai fini di una filiera trasparente, impone di fatto una corretta gestione degli ADS, all’interno di quel contratto da Responsabile. 

In un contesto, infatti, nel quale più soggetti effettuano un trattamento dati, corre d’obbligo inquadrare con precisione chi ha la responsabilità di gestire gli AdS, e chi invece ha l’onere (ad esempio) di raccoglierne i log.

Chi fa cosa 

É bene chiarire sin da ora che la designazione individuale degli AdS deve essere fatta dalla società che li ha “in pancia” come si suol dire (o se preferite in organico). Altrettanto appare chiaro ed evidente che le “designazioni quali Amministratori di Sistema” fatte alle società siano totalmente inappropriate, fuorvianti e inopportune. Infatti, solo l’Organizzazione che ha in organico gli AdS, è l’unica ad essere legittimata nell’assegnarne ruoli e responsabilità, giammai un soggetto esterno (!). L’AdS è poi una “figura professionale” svolta sotto specifica autorizzazione, che di fatto detiene “le chiavi del regno informatico”.

Dal punto di vista privacy, considerata la delicatezza della mansione, la selezione di un AdS da parte del Titolare del trattamento assume un’importanza cruciale. Si tratta infatti di una scelta importante ai fini della costruzione di un “robusto” perimetro di sicurezza, attorno al patrimonio informativo e non di meno al trattamento di dati. L’art. 4 del Provvedimento in questione, non a caso, recita che «…l’attribuzione delle funzione degli Amministratori di Sistema debba avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato…». Ne consegue che, specialmente nel settore dei servizi ICT, sarà opportuno fornire «idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza». Pertanto, dovendo palesare di aver effettuato una valutazione ben ponderata, sarà bene potenziare i contratti ex art. 28, stabilendo con chiarezza come regolamentare tali figure professionali.

Per agevolare chi ci legge forniamo un esempio di come potrebbe essere formulata una clausola del genere:

“Nel caso in cui il Titolare sia proprietario di impianti di elaborazione, dovrà assegnare al Responsabile le funzioni da esso svolte e le attività di trattamento dei dati personali condotte entro il proprio ambito, specie per quanto concerne la gestione e manutenzione di tali sistemi, dovendo egli individuare, selezionare ed elencare il personale adibito a questa funzione, garantendone altresì la valutazione, la designazione e l’elencazione, secondo quanto stabilito dal Provvedimento AdS. Resta a carico del Titolare l’onere della verifica delle attività e della registrazione degli accessi logici (log), punti 4.4 e 4.5 del Provvedimento AdS.”.

É essenziale altresì che, per non farsi carico di costi imprevisti, venga stabilito chi debba attuare la raccolta log. Il soggetto della supply-chain (catena di fornitura) il quale avrà l’onere della raccolta, dovrà ricevere l’elenco degli Amministratori di Sistema e l’ambito di operatività dei medesimi; col che, sulla base di tali informazioni, attuerà la raccolta log. Questi ultimi saranno quindi messi a disposizione della catena di fornitura (ciascun elemento dovrà avere accesso ai log dei propri AdS), al fine di poter attuare la verifica sull’operato, almeno annuale.

Tutto questo eccezion fatta che, per essere accountable, non si impostino modalità operative differenti, purché altrettanto adeguate.

La trasversalità della materia e le possibili ricadute

Ma non è tutto. Vediamo infatti ancora come l’art. 25, che “consacra” il principio della Privacy by Design e by Default, pone ulteriori questioni sugli AdS.

Ne citiamo una in particolare, allorquando un nuovo sistema adottato, debba consentire per necessità il controllo degli AdS, per il tramite di una serie di log generati in modo adeguato e corretto, anche nella attività di raccolta.

Cosa il GDPR non ha per nulla modificato 

Da ultimo e in conclusione, restano nel profondo invariati i punti saldi del provvedimento, a dimostrazione peraltro della bontà dello storico Provvedimento che ha costituito radici profonde, nella sua sostanza immutate, a più di un decennio di distanza. Non poco, osiamo dire e constatare. A fortiori, intuendo come la vera spinta a porre delle puntuali indicazioni (come quelle contenute nel Provvedimento in questione) era data dallo “smascherare” o meglio “portare alla luce” anche definitoria che vedeva coinvolti tanti tecnici amministratori di sistema investiti di quel ruolo, ma senza comparire in alcun modo. In una parola, forse un po’ forte specie di questi tempi, “clandestini”. Situazione che non giovava ad alcuno. 

In conclusione

Come resta invariata la necessità di soddisfare tutti i punti del Provvedimento, con specifica attenzione alla formazione nonché alla verifica dell’operato degli ADS (da effettuarsi almeno annualmente), così sarebbe bene se non anche d’obbligo dotarsi di un valido sistema di raccolta log che concili quanto finora esposto.

É quindi il caso di dire…buon lavoro!

Articolo scritto in collaborazione con Chiara Ponti

Back to top button