NEWS

Amministratore di sistema in era Gdpr: esperienze sul campo di un Dpo

Nel complesso reticolo di figure ed autorizzazioni che un buon assetto di protezione dati prevede, un posto importante va sicuramente riservato alla figura dell’Amministratore di Sistema. Tale figura, già ben inquadrata da un Provvedimento dell’Autorità Garante del lontano 27 novembre 2008, necessità indubbiamente di rinnovata interpretazione visto l’enorme aumento di importanza della funzione IT all’interno delle aziende, ma anche alla luce della necessaria integrazione con il sopraggiunto Gdpr.

Un amministratore di sistema con il suo team

Preme sottolineare che il provvedimento è ad oggi pienamente valido ed applicabile, a differenza di quanto ritenuto da molti titolari, che tendono ad associarlo ad altri adempimenti abrogati, come ad esempio il Documento Programmatico sulla Sicurezza (DPS) in vigore fino al 2012.

Il Titolare, in un’ottica di accountability dovrebbe porre particolare attenzione al tema AdS, visto il ruolo particolarmente delicato che lo stesso ricopre ed il potenziale accesso ad ogni tipologia di dati contenuta nei sistemi aziendali. Tale ruolo spesso si interseca con gli aspetti di sicurezza dei dati, e nelle aziende più strutturate si spinge fino ai temi di cybersecurity.

Dall’esperienza di Data Protection Officer vediamo come interpretano le aziende questo ruolo da un punto di vista formale, e quali sono le principali criticità che il Responsabile della Protezione Dati incontra.

Sempre più spesso, anche in realtà strutturate e complesse, si tende ad esternalizzare la governance dell’area IT a soggetti esterni.

Solitamente le aziende tendono a riproporre a consulenti IT ed aziende di informatica e sistemi, la stessa nomina di AdS detenuta fino a poco tempo prima dal responsabile dell’area IT.

In alcuni casi, di più facile interpretazione, si tratta di nomina proposta ad un professionista indipendente, purtroppo non sempre personalizzata ed accompagnata da adeguata contrattualistica. Di rado si riscontra una valutazione scritta del soggetto designato in base alle competenze ed alla esperienza pregressa. Ancor più raro, trovare traccia di audit annuale all’AdS come previsto dalla normativa.

Diverso ma non meno ricco di insidie, il caso in cui la nomina sia stata proposta all’azienda fornitrice di servizi IT, magari congiuntamente ad una nomina di Responsabile ex art. 28 Gdpr. In alcuni casi, addirittura, capita di trovare nomine di amministratore di sistema dirette ai dipendenti dell’azienda nominata come Responsabile. Una situazione questa che lascia più di un dubbio anche in virtù delle responsabilità che il dipendente della società esterna andrebbe ad assumere a titolo personale verso la società cliente.

In alcuni casi si è poi riscontrato che i soggetti nominati come AdS, accedono ai sistemi del cliente con un unico account condiviso, rendendo vana ogni possibilità di tracking degli accessi. Veramente arduo in un quadro di questo tipo pensare di poter redigere accurate valutazioni e poter avviare periodiche attività di audit, peraltro, anche in questo caso, quasi mai riscontrate.

Il provvedimento sugli amministratori di sistema è tuttora vigente anche con il Gdpr

Ultimo, ma non meno importante il caso in cui l’amministratore di sistema sia ancora una figura interna, con una collocazione ben precisa nell’organigramma aziendale. In tal caso è opportuna una nomina circostanziata, che formalizzi i compiti assegnati e le deleghe in carico e riporti precise istruzioni.

Emblematico invece il caso, che spesso purtroppo si riscontra, in cui siano nominati come AdS, tutti (o quasi) i soggetti di area IT di un’azienda senza alcuna differenziazione nella nomina sottoscritta. In questo caso il rischio di indeterminazione a livello di responsabilità è alto.

In alcuni casi, tragici, alla nomina di amministratore di sistema interno si trova spillata quella di data protection officer, magari pro-tempore, in palese conflitto con le indicazioni del Regolamento Europeo e dell’Autorità Garante.

La sistematica mancanza di applicazione di queste indicazioni rischia di relegare il Titolare del trattamento in una posizione di alto rischio e di metterlo nella situazione di non poter valutare in modo corretto l’adeguatezza e la conformità dei propri sistemi.

È evidente che per poter raccordare al meglio il tema AsS con la compliance Gdpr, dobbiamo attingere ad una delle frasi più frequenti in ambito protezione dati: l’analisi del contesto.

Una buona conoscenza della realtà e dei flussi informativi, infatti, consente al Dpo di valutare congiuntamente con il Titolare l’inquadramento formale dell’AdS.

Il Dpo dovrà, poi, sorvegliare sull’operato, coinvolgendo l’AdS nei suoi incontri periodici e riportando eventuali anomalie riscontrate al Titolare. E quali potrebbero essere alcuni punti di attenzione di una eventuale “sorveglianza” su questi temi?

- Diligenza nella gestione dei permessi, con particolare riferimento alla disattivazione rapida degli account riferibili a soggetti non più in forza all’azienda.
- Diligenza nella verifica/applicazione delle patch di sicurezza ai sistemi aziendali e ad eventuali soluzioni cloud.
- Diligenza nella verifica del corretto uso di sistemi informatici da parte del personale, dialogo con il consulente privacy per l’aggiornamento periodico del regolamento informatico.
- Diligenza nella verifica periodica del funzionamento delle apparecchiature di backup e certificazione di avvenuti test di ripristino dati.
- Diligenza nel periodico controllo dei log generati dai sistemi in modo da evidenziare tempestivamente abusi ed incidenti informatici. Conseguente celerità nel riportare al titolare eventuali situazioni di rischio e, a maggior ragione, estrema rapidità nel riportare incidenti informatici. Necessaria collaborazione per la loro classificazione ed interventi rapidi per sanare eventuali falle.

Proprio quest’ultimo punto presta il fianco ad un altro tema delicato: la conservazione dei log degli AdS prevista dal medesimo provvedimento indicato in apertura. Questo rappresenta un tema spesso disatteso o confuso con la conservazione di altri tipi di log che presumibilmente l’azienda conserva per altri fini.

È bene ricordare, come capitato anche al sottoscritto, che spesso tali log sono richiesti in sede di ispezione o ad integrazione di attività investigativa a seguito di Data Breach.

Spesso viene da chiedersi se l’Autorità Garante metterà mano alla figura dell’Amministratore di Sistema, proponendo una veste più moderna ed allineata al Gdpr. Al momento la soluzione, al fine del massimo soddisfacimento delle norme in vigore e delle prassi in essere, è quella di tenersi caro uno dei concetti chiave del Regolamento Europeo, ormai elevato al rango di mantra: l’accountability.

Note Autore

Bruno Frati Bruno Frati

Data Protection Officer, amministratore unico di MYDPO, Delegato Federprivacy nella provincia di Livorno. Email: b.frati@mydpo.it

Next A dicembre ‘Alta formazione tecnica per Dpo’ con il patrocinio del Garante Privacy

Rai Parlamento, Nicola Bernardi parla del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy