La figura dell’ammministratore di sistema nella disciplina della privacy crea non qualche problema. Tale figura, non prevista dal Regolamento UE 2016/679, è disciplinata nel nostro ordinamento dal Provvedimento del Garante del 27 novembre 2008Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema“. Provvedimento ad oggi pienamente valido ed applicabile.

Chi è l’amministratore di sistema (AdS)?

L’amministratore di sistema viene definito nel Provvedimento come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.

Pertanto, è una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; è un esperto chiamato a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali; a lui viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda.

L’amministratore di sistema può essere interno o esterno all’azienda. In genere è interno nelle aziende più strutturate, dove vi è un Responsabile IT o uffico CED. Le piccole aziende, invece, molto spesso si rivolgono a tecnici esterni per la gestione del sistema informatico, che possono svolgere questa funzione occasionalmente, “a chiamata”.

Quali attività svolge?

L’Amministratore di Sistema a seconda delle competenze assegnate, assume diversi ruoli:

  • Amministratore delle basi di dati (Database Administrator), responsabile dell’integrità dei dati stessi, dell’efficienza e delle prestazioni del sistema-database, dei back-up e dei disaster recovery;
  • Rete (Network Administrator) che gestisce l’infrastruttura delle reti e cioè gli apparati fisici come macchine, cavi, sistemi wi-fi, hub, switch e router ed effettua le diagnosi dei vari computer o server presentano in rete;
  • Amministratore della sicurezza (Security Administrator);
  • Web (Web Administrator), che si preoccupa della gestione dei servizi web, in internet e intranet, ovvero servizi che permettono ad utenti interni e/o esterni di accedere ai siti web e ai servizi di rete internet in upload e download e di navigazione in generale.

L’amministratore di sistema si occupa di questioni strettamente tecnico-informatiche, ha un ruolo essenziale per la sicurezza dei sistemi informatiche e delle banche dati, attività che naturalmente rientrano o possono rientrare nelle misure tecniche previste dall’art.32 del GDPR. Per questo, l’amministratore di sistema parteciperà con il Titolare nel definire le misure necessarie a protezione dei dati. Pertanto assumerà un ruolo importante anche nei casi di data breach.

Come possiamo inquadrare l’amministratore di sisema nell’organigramma privacy?

L’amministratore di sistema deve essere inquadrato nell’organigramma aziendale e le sue competenze e ruoli riportati in un documento di nomina.

Mentre, se ci si affida a società esterne di servizi IT, il ruolo di amministratore è esternalizzato. In questo caso, possiamo regolamentare il rapporto con un accordo ai sensi dell’art. 28 del GDPR (Responsabile del trattamento), integrando il documento con la nomina di amministratore di sistema.

La figura dell’amministratore di sistema è una figura importante sul quale il Titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento stesso (accountability).

(Patrizia Meo)

Leggi anche le FAQ del Garante:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499#FAQ