25 Gen Amministratore di Sistema e Privacy
Il Regolamento europeo (GDPR) non prevede espressamente la figura dell’amministratore di sistema, la cui definizione è rintracciabile nel Provvedimento del 27 Novembre 2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), che ci restituisce chiaramente come il ruolo di amministratore di sistema abbia lo scopo di garantire il regolare funzionamento dell’infrastruttura tecnologica aziendale e il corretto utilizzo della stessa da parte degli utenti interni ed esterni dell’organizzazione.
Nel Provvedimento del Garante, che continua ad essere valido anche a seguito delle modifiche introdotte dal D.lgs. 101/2018, la figura dell’amministratore di sistema è definita come la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
La definizione però fa rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:
- gli amministratori di data base;
- gli amministratori di reti e di apparati di sicurezza;
- gli amministratori di sistemi software complessi.
In virtù delle funzioni da amministratore di sistema appena individuate, emerge chiaramente che le attività svolte da un amministratore di sistema non sempre comportano l’effettiva capacità di azione sul dato, anche quando l’amministratore non consulti in chiaro il dato.
Questo aspetto può essere spesso fonte di confusione e perplessità nell’individuare tra i soggetti interni e i fornitori di servizi esterni, le figure coerenti con il ruolo di amministratore così come definito dal Provvedimento sopra citato.
COSA PREVEDE LA NORMATIVA?
Alla presenza e alla designazione di uno o più amministratori di sistema all’interno di un’organizzazione sono correlati una serie di adempimenti obbligatori, previsti dalla normativa.
Di seguito abbiamo provato a riassumere alcuni degli adempimenti più importanti:
- la scelta dell’amministratore di sistema e quindi l’attribuzione delle funzioni correlate deve avvenire dopo aver verificato l’esperienza, la capacità e l’affidabilità del soggetto, che dovrà garantire conoscenze in ambito di gestione dei sistemi, della normativa vigente e delle best practice di riferimento in materia di gestione della sicurezza dei sistemi informatici, e consapevolezza dei rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi.
- La designazione ad amministratore di sistema deve essere individuale e riportare nel dettaglio gli ambiti di operatività.
Pertanto, è necessario formalizzare i ruoli e le funzioni, definire i profili di autorizzazione e assegnare utenze nominative. - Deve essere mantenuto un elenco di tutti i nominativi degli amministratori e delle relative funzioni.
Questo documento interno deve essere mantenuto aggiornato e disponibile in caso di accertamenti da parte del Garante. - Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Come riportato nel Provvedimento in questione, le registrazioni devono comprendere i riferimenti temporali, la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a 6 mesi. - Le attività degli amministratori di sistema devono essere verificate periodicamente, almeno annualmente.
Hai altri dubbi o desideri approfondire questa tematica?
Il team di Onbit è a disposizione per una consulenza personalizzata!