Amministratore di sistema e GDPR. Le misure e gli accorgimenti imposti dal provvedimento del Garante valgono ancora?
Era il 2008 quando il Garante della Privacy con il provvedimento intitolato Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, provvedimento aggiornato nel 2009, imponeva particolari cautele che i titolari del trattamento di dati personali erano tenuti ad assumere nei confronti delle operazioni svolte dai soggetti definiti amministratori di sistemi e dei loro collaboratori.
Si definiscono amministratori di sistema quei soggetti preposti alla sicurezza, alla gestione e alla manutenzione delle banche dati, dei sistemi e delle infrastrutture informatiche di un’impresa, di un ente o organismo cui vengono associati anche gli amministratori di reti e gli amministratori di sistemi software complessi (figura già definita dall’art. 1, comma 1, lett. c) d.P.R. 318/1999 nella disciplina previgente al Codice Privacy) che, in ragione delle proprie mansioni, come ad esempio, attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e manutenzione hardware, possono avere il privilegio di accedere – accesso da considerarsi anche solo in via potenziale – ai dati personali trattati dal titolare.
Data la delicatezza dei compiti assegnati a tali soggetti e i rischi associati al loro ruolo, il Garante era intervenuto con il provvedimento del 2008 per regolamentare le modalità di svolgimento degli incarichi assegnati agli amministratori di sistema e il rapporto con il titolare del trattamento, stabilendo che i medesimi titolari erano tenuti ad adottare idonee misure volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in particolare quelli commessi con abuso della qualità di amministratore di sistema; richiamando inoltre l’attenzione sulla necessità di valutare attentamente le caratteristiche soggettive, di condotta, affidabilità e professionalità dei soggetti cui attribuire tale ruolo, da valutare anche in considerazione delle responsabilità, specie di ordine penale e civile (artt. 15 e 169 del Codice Privacy), che potevano scaturire in caso di incosciente o inidonea designazione. L’amministratore di sistema era poi tenuto a fornire opportune garanzie del pieno rispetto delle vigenti disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza dei dati e ciò anche quando le sue funzioni gli venivano attribuite, diceva il Garante, in qualità di incaricato del trattamento e non solo dunque in qualità di responsabile.
L’atto di designazione doveva elencare gli ambiti operativi in base al profilo di autorizzazione attribuito. Il titolare del trattamento, in relazione a quanto stabilito dal provvedimento del Garante, era tenuto a mantenere un elenco aggiornato degli amministratori di sistema, inventariando anche le funzioni ad essi assegnate. Tra l’altro, se le mansioni di amministratore di sistema erano relative ad operazioni che avrebbero consentito loro di accedere a dati personali di lavoratori, l’identità di tale soggetto doveva essere resa nota ai lavoratori anche all’atto di presentazione dell’informativa privacy resa al dipendente nell’ambito del rapporto di lavoro, in alternativa erano comunque considerati validi anche altri strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini).
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento dovevano conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
Con cadenza annuale il titolare del trattamento o il responsabile era tenuto ad effettuare opportune verifiche sull’operato dell’amministratore di sistema; doveva essere adottato un sistema di controllo degli accessi mediante sistemi di autenticazione informatica e le registrazioni (access log) dovevano avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica, comprendendo i riferimenti temporali e la descrizione dell’evento generante e conservate per almeno sei mesi.
Questo dunque quanto fissato dal Garante della privacy in relazione al ruolo di amministratore di sistema prima dell’entrata in vigore del Regolamento n. 679/2016.
Ora, considerando il fatto che la figura di amministratore di sistema non viene in alcun modo menzionata dal Regolamento, molti titolari e responsabili del trattamento si stanno chiedendo se il provvedimento del Garante del 2008 e quindi gli accorgimenti ivi impartiti, l’attenzione alle caratteristiche soggettive nella scelta, la conservazione degli access log, l’attribuzione stessa dell’incarico ad amministratore di sistema, gli elenchi contenenti nominativi e ambiti operativi assegnati, le istruzioni scritte, le garanzie sulle misure di sicurezza e le verifiche annuali sull’operato valgano ancora oggi o se diversamente quel provvedimento debba considerarsi non più in vigore e in tal caso come ci si dovrebbe muovere.
In realtà, sul punto è possibile affermare che il GDPR non interviene sui provvedimenti del Garante, esso afferma solo che vanno cancellate le norme e le regolamentazioni degli ordinamenti nazionali incompatibili con le disposizioni del regolamento. Il GDPR impone a carico del titolare e del responsabile del trattamento maggiore controllo e responsabilizzazione, secondo un’ottica di prevenzione del rischio in relazione ai dati personali. Gli accorgimenti imposti dal Garante della privacy nel provvedimento sulla designazione degli amministratori di sistema appaiono pertanto essere conformi ai principi e alle disposizioni contenute nel GDPR, quindi, a parere di chi scrive, chi abbia già strutturato la propria organizzazione nel rispetto di quanto impartito dal Garante all’epoca del provvedimento sugli amministratori di sistema, può ben mantenere le misure e gli accorgimenti adottati, ricordando che, qualora le funzioni di amministratore di sistema siano state assegnate in outsourcing, occorrerà provvedere a designare tale soggetto responsabile del trattamento, assegnando allo stesso le funzioni specifiche di amministratore di sistema e stando attenti ad inserire nel contratto (o altro atto giuridico) tutto quanto richiesto dall’art. 28 del GDPR, rimandando eventualmente all’atto con cui tale soggetto a suo tempo è stato nominato amministratore di sistema, così da creare una documentazione coordinata.
Per coloro invece che si trovano oggi a dover intervenire ex novo sul tema dell’amministratore di sistema, è consigliabile:
- se il soggetto è interno all’organizzazione, si può procedere ad autorizzarlo per iscritto allo svolgimento delle mansioni e continuare a rispettare le misure previste dal Garante, quindi particolare cura nella scelta della/e persona/e che dovrà/anno ricoprire il ruolo, sistemi di autenticazione, conservazione degli access log per almeno sei mesi (attenzione alle caratteristiche degli access log devono consentire di rilevare data e ora degli accessi e l’evento generante), elenco contenente il nome - o i nomi se si tratta di più soggetti – dell’amministratore di sistema, specificando le mansioni assegnate e gli ambiti operativi di intervento cui è abilitato (principio di minimizzazione), comunicazione ai dipendenti qualora l’amministratore di sistema sia abilitato ad accedere ai loro dati, report annuale e verifica sul suo operato;
- se il soggetto è esterno all’organizzazione, si può procedere mediante un contratto o altro atto giuridico con cui lo si designa responsabile del trattamento, assegnando le specifiche funzioni di amministratore di sistema e indicando tra le istruzioni e le misure di sicurezza, che è doveroso specificamente descrivere nell’atto, anche gli accorgimenti che a suo tempo sono stati indicati dal Garante in quanto idonei a rispettare la compliance al GDPR.