Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

Le novità per gli amministratori di sistema

di Paolo Ricchiuto* - 20.01.09

 
Nel quadro delle novità con le quali il Garante ha chiuso l’anno che ci lasciamo alle spalle, un posto di grande rilievo deve sicuramente essere assegnato al provvedimento dedicato agli amministratori di sistema (adottato il 27 novembre 2008, pubblicato nella G.U. n. 300 del 24 dicembre 2008).

L’autorità torna così su una figura che, espressamente contemplata nel vecchio DPR 318/99, era di fatto scomparsa nel disciplinare tecnico (all. B al DLGV 196/03), e che viene oggi riesumata sulla base della esigenza sentita dal Garante di dare una più robusta regolamentazione ad una figura chiave nella gestione dei processi aziendali.
Il provvedimento è articolato, e molti sono i punti importanti e le criticità operative che ne conseguono.
Senza nessuna pretesa di completezza, ecco gli elementi fondamentali:

- è accaduto molto spesso che il Garante, nell’emanare vari provvedimenti, ne abbia qualificato la veste giuridico-formale soltanto all’interno del dispositivo, generando quindi più di una confusione in ordine alla vincolatività ed alla portata delle indicazioni impartite nel corpo del provvedimento (basti pensare al caos che continua a regnare sovrano relativamente alle linee guida su posta elettronica ed internet del 01.03.07). Del tutto opportunamente, invece, nel provvedimento che stiamo analizzando, l’autorità ha reso immediatamente percepibile la differenza fra le mere indicazioni a carattere squisitamente divulgativo (fornite ai sensi dell’art. 154 comma 1 lett. h) e le vere e proprie prescrizioni impartite con piena efficacia vincolante, ed a pena di illiceità del trattamento, nell’esercizio dei poteri di cui all’art. 154 comma 1 lett. c);

- il DPR 318/99 definiva amministratore di sistema il soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione. Nel provvedimento, il Garante estende la nozione ad un ambito ben più largo, che comprende non solo figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ma anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi;

- la parte del provvedimento relativa alle prescrizioni, contiene una serie di nuovi adempimenti a carico dei titolari del trattamento che usufruiscano di figure rientranti in tale nozione: dalle prescrizioni, però, sono formalmente esentati coloro che rientrano nel malcerto ambito di applicazione del parallelo provvedimento 27.11.08 sulle semplificazioni (vedi DPS: chi può semplificare e chi autocertificare?);

- spiccano, per la loro portata pratica (certamente non in linea di continuità con la stagione di semplificazioni cui, almeno sulla carta, ci stavamo abituando) alcune prescrizioni specifiche, ed in particolare:

a) secondo il Garante, attesa la particolare significatività del ruolo svolto, la soluzione naturale nella attribuzione del ruolo privacy all’amministratore di sistema è quella della sua designazione a responsabile del trattamento. La designazione, peraltro, è e resta facoltativa, e ciò in virtù del disposto di una norma di legge (l’art. 29 comma 1 del codice) che il Garante non ha il potere di derogare. Ciò nonostante, con una disposizione abbastanza anomala, ma eloquentemente orientata ad elevare il livello di attenzione sul tema, il provvedimento prevede come anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29;

b) è escluso, per gli amministratori di sistema, il ricorso ad uno strumento di semplificazione che era ab origine contenuto nel codice, e che veniva molto utilizzato all’interno di organizzazioni complesse: mi riferisco all’art. 30 comma 2, che garantiva la possibilità, in luogo della designazione di incarico individuale, della cosiddetta designazione per classi omogenee di incaricati, previsione che consentiva la redazione di un unico documento valevole per tutti gli addetti ad una determinata area, anche se si trattava degli addetti IT. Bene. Tale strumento non potrà più esser utilizzato per tutti coloro che rientrano nella nozione di system administrator, atteso che per gli stessi vi sarà l’obbligo di designazione individuale;

c) il fatto che, nel processare i dati, l’amministratore non vi abbia accesso in chiaro, non è considerato dal Garante circostanza sufficiente ad uscire dall’area applicativa del provvedimento;

d) sarà necessario redigere un elenco degli amministratori di sistema, che dovrà essere formato sia da chi è tenuto alla redazione del DPS, sia (qui la sostanziale novità) per chi è libero da quell’obbligo;

e) con una disposizione che certamente creerà grossi problemi all’interno delle aziende (soprattutto quelle molto sindacalizzate), è previsto che se l’amministratore di sistema svolge trattamenti che coinvolgono i lavoratori, il suo nominativo dovrà esser reso noto nelle forme già previste dall’art. 13 o dalle linee guida per internet e posta elettronica;

f) in caso di esternalizzazione del servizio, il provvedimento impone che il titolare conservi direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. Ne deriva un gravoso adempimento a carico dei provider di tali servizi, che dovranno (questo sembra il senso della disposizione) fornire all’appaltante un elenco dettagliato ed aggiornato di tutti i soggetti che curano le attività affidate all'esterno, con tutti i problemi che ne derivano in termini di turn over del personale addetto;

g) così come è previsto normativamente per la gestione del rapporto titolare/responsabile, l’amministratore di sistema (a prescindere dal fatto che sia designato “soltanto” incaricato del trattamento) dovrà essere soggetto a verifica periodica, con cadenza “almeno annuale”. A compendio di ciò, gli accessi effettuati da parte dell’amministratore di sistema dovranno essere registrati, e le registrazioni dovranno avere caratteristiche tali da consentire di risalire al dettaglio delle operazioni poste in essere dagli interessati. E’ da vedere con quali strumenti organizzativi e tecnici sarà possibile dare seguito a tali indicazioni: quello che è certo, è che il Garante di fatto detronizza il ruolo dell’amministratore, che potrà continuare (come molti fanno, in preda a deliri di onnipotenza) ad identificarsi come “zeus”, senza che a ciò corrisponda un effettivo ed incontrollato dominio sulla gestione del sistema.

Attenzione: per mettersi in linea con questo ventaglio di novità non c’è molto tempo. Il provvedimento, infatti, prevede che tutti i trattamenti in corso debbano esser adeguati entro 120 giorni dalla pubblicazione in Gazzetta Ufficiale, avvenuta il 24 dicembre 2008 (e quindi entro il 23 aprile 2009). Il contatore, quindi, ha già iniziato a correre alcune settimane fa e, a parte qualche trafiletto sulla stampa specializzata, non molti se ne erano accorti, almeno fino alla pubblicazione sulla home page del sito del Garante, avvenuta soltanto il 14 gennaio 2009.

Ecco, allora, l’ennesima scadenza. Gli ennesimi adempimenti.
 

* Avvocato in Roma

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2009  Informazioni sul copyright