NEWS

L'amministratore di sistema è compatibile con il Gdpr: quando e come designarlo

L’amministratore di sistema è compatibile con la disciplina dell’accountability del Regolamento UE 2016/679 (GDPR). Ciò perché è una figura soggettiva, centro di imputazione di attività/funzioni relativi al trattamento dei dati personali, con l’obiettivo, assolutamente allineato al GDPR, di elevare le condizioni di sicurezza del trattamento medesimo.


La disciplina dell’amministrazione di sistema propriamente detta è formulata dal Provvedimento del Garante per la protezione dei dati personali (qui di seguito GPDP) del 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale del 24 dicembre 2008 (emendato dal provvedimento del 25 giugno 2009, pubblicato sulla Gazzetta Ufficiale del n. 149 del 30 giugno 2009).

Tale funzione implica una triplice attività: nomina dell’amministratore di sistema; verifica dell’attività; registrazione degli accessi. Questa triade di adempimenti è da sottoporre alla valutazione della compatibilità.

VERIFICA DELLA COMPATIBILITÀ - In generale, la verifica della compatibilità dei provvedimenti del GPDP rispetto all’impianto sopravvenuto della normativa rilevante in materia di trattamento dei dati personali è un articolato processo, distinto nelle seguenti fasi:

1) censire adempimenti/regole;
2) eliminare adempimenti/regole abrogati/e espressamente oppure per incompatibilità;
3) Individuare adempimenti/regole conformati/e diversamente;
4) Individuare adempimenti/regole identici/he;
5) Individuare adempimenti/regole non presenti, ma introdotti/e ex novo dal GDPR.

NOMINA - Il GPDP ha precisato in un suo comunicato del 10 dicembre 2009 chi è tenuto alla nomina dell'amministratore di sistema e a gli altri adempimenti connessi, chiarendo che le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente; conseguentemente le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso. Insomma quello che conta è il dato dimensionale e organizzativo (anche se non si stabiliscono espressamente livelli soglia).

Con riferimento a tali indicazioni, il vaglio della compatibilità con il sopravvenuto combinato di GDPR e nuovo Codice della privacy porta a dire che deve essere il singolo titolare/responsabile del trattamento a dover documentare eventuali situazioni che, in omaggio ai principi della “responsabilizzazione” rendono plausibile non fare ricorso a questa funzione.

A proposito della nomina, in virtù del riportato giudizio di compatibilità, conserva efficacia l’indicazione del GPDP, per cui nell’atto è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici. (Scarica il modello di designazione predisposto da Federprivacy)

VERIFICA PERIODICA - Il provvedimento del GPDP prevede che l´operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un´attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

L’adempimento della verifica periodica supera il vaglio della compatibilità con il sopravvenuto combinato di GDPR e nuovo Codice della privacy e ciò alla luce degli articoli 24 e 32 GDPR.

REGISTRAZIONE DEGLI ACCESSI - A proposito dell’amministratore di sistema, il GPDP ha fornito alcune indicazioni operative mediante risposte ad alcune FAQ, rinvenibili sul sito internet dell’autorità di controllo.
Esaminiamone alcune, partendo dai cosiddetti log.

Il provvedimento del GPDP, infatti, prevede, tra gli altri adempimenti, la registrazione degli accessi dell'amministratore di sistema, con indicazione dei tempi di apertura e chiusura dell'intervento e con la registrazione dell'evento che ha generato l'intervento del sistemista.

Il GPDP ha precisato che si può anche utilizzare software open source a costo zero per il logging degli accessi degli amministratori di sistema: naturalmente tutto ciò è rimesso alla valutazione del titolare/responsabile del trattamento.

L’obbligo in sé supera il vaglio della compatibilità con GDPR/nuovo Codice, in quanto sussimibile sotto gli articoli 24 e 32 GDPR.

Rimane valido che l'obbligo di registrazione degli accessi logici riguarda i sistemi client «postazioni di lavoro informatizzate». La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso). Non è richiesto in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Nei casi più semplici la registrazione può essere soddisfatta tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi.

Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità. Il titolare, tuttavia, deve valutare se adottare strumenti più sofisticati (raccolta dei log centralizzata, dispositivi non riscrivibili, tecniche crittografiche per la verifica dell'integrità delle registrazioni).

Altrettanto inalterate sono le indicazioni a proposito della inalterabilità delle registrazioni. Il requisito, ha chiarisce il GPDP, può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e «certificati».

Il garante, poi, si spinge a dire che il provvedimento non si preoccupa della effettiva genuina generazione dei dati registrati: il provvedimento si limita a prevedere come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli «accessi» (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento.

L’adempimento della registrazione degli accessi supera il vaglio della compatibilità con il sopravvenuto combinato di GDPR e nuovo Codice della privacy e ciò alla luce degli articoli 24 e 32 GDPR.

Note Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev La riforma del Registro Pubblico delle Opposizioni, una rivoluzione nel settore del telemarketing
Next Faceapp: bye bye privacy per un pugno di risate

Privacy e Lavoro nell'era degli algoritmi

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy