CHI E’ L’AMMINISTRATORE DI SISTEMA?

La figura professionale dell’Amministratore di Sistema (in breve “ads”), pur non essendo espressamente richiamato nel GDPR, è un elemento chiave nelle aziende e ricopre inoltre un ruolo fondamentale ai fini di un’efficace prevenzione dei reati organizzativi (D.lgs 231/2001).

Vale ancora oggi la definizione presente nel provvedimento del Garante del 2008, ancora applicabile in quanto non incompatibile con il Regolamento, quale figura dedicata in ambito informatico alla gestione e manutenzione di impianti di elaborazione o di sue componenti, dei  sistemi software complessi quali ad esempio gli ERP (Enterprise Resource Planning) usati in aziende di grandi dimensioni, reti locali e sistemi di sicurezza sempre che intervengano sui dati personali. Se interno all’azienda sarà designato dal titolare o dal responsabile ex art.2  quaterdecies D.lgs 196/2003.

E’ importante avere chiaro che restano esclusi dalla definizione di amministratori di sistema tutti quei soggetti che solo occasionalmente intervengono in azienda per manutenzioni o guasti del sistema operativo e/o sui software.

VEDIAMO ALCUNE SPECIFICHE FUNZIONI

Tra le funzioni in particolare ricoperte in azienda dall’ads ci sono:

a. Custode delle copie delle credenziali: nello specifico l’ads ha il compito di generare, sostituire e invalidare le parole chiave e i codici assegnati agli incaricati del trattamento;

b. Disattivare i codici identificativi se non utilizzati per oltre sei mesi oppure in caso di perdita di qualifica del soggetto incaricato;

c. Installazione di Programmi Antivirus appropriati, di firewall, assicurandone aggiornamento costante;

d. Predisposizione di copie di backup periodiche, vigilando sulle procedure attivate e sulla conservazione delle stesse in luogo adatto e sicuro;

e. Organizzare e adempiere allo smaltimento degli strumenti elettronici secondo le disposizioni del Garante (del 13.10.2008);

f. Collaborare con il Titolare e il DPO, ove nominato, al fine di attuare le prescrizioni del Garante e fornire un rapporto periodico sulle attività espletate;

g. Organizzare un sistema di accessi logici per tutte le persone fisiche qualificate come amministratori di sistema assicurandosi che gli stessi siano completi, inalterabili e verificabili;

COME SCEGLIERE UN VALIDO AMMINISTRATORE DI SISTEMA? 

I SUGGERIMENTI DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Per l’azienda è importante sapere con quali criteri operare la scelta di un ads e soprattutto controllare il suo operato: il provvedimento del Garante sugli amministratori di sistema (provvedimento del 27.11.2008 modificato il 25.06.2009) individua alcune misure organizzative per i titolari per una verifica delle attività dell’amministratore di sistema, tra le quali si ricorda:

1. Valutazione esperienza, capacità, affidabilità in base agli stessi criteri utilizzati per la scelta del Responsabile esterno del trattamento (vedi art. 28 GDPR);

2. Designazione individuale con elenco dettagliato delle aree e settori di attività;

3. I lavoratori dipendenti dell’azienda devono conoscere l’identità degli amministratori di sistema ove trattino i loro dati personali;

4. Verificare almeno una volta l’anno l’operato dell’ads;

BREVE CHECK LIST PER LA COMPLIANCE DELL’ADS

Si fornisce una breve check-list, facilmente verificabile e integrabile, per controllare l’attività dell’ads. L’onere di controllo è espressione del principio di accountability del titolare. Dopo aver risposto alle domande occorre redigere un report e far colmare eventuali lacune all’ads.

Tale verifica può essere posta in essere anche a mezzo di software appositamente sviluppati.

1. E’ stato implementato un sistema di controllo sulle credenziali di autenticazione da parte degli incaricati?

2. Vi è un sistema di access di log per ogni amministratore, conservato per almeno 6 mesi?

3. Come è impostato il sistema dell’accesso ai log, con quali permessi e modifiche?

4. Vi sono istruzioni scritte agli incaricati per la conservazione delle credenziali?

5. Vi è una policy sulla sicurezza e reset delle password?

6. E’ stato predisposto un elenco degli ads?

7. Gli ads hanno tutte le informazioni per configurare i sistemi?

8. E’ stata redatta la policy sulla gestione del Data Breach in azienda?

9. Sono state elaborate procedure di backup, disaster recovery e business continuity?

10. I nomi dagli ads sono stati comunicati ai dipendenti?

AMMINISTRATORE DI SISTEMA IN OUTSOURCING

Molte aziende chiedono se l’ads debba essere solo interno oppure si possa esternalizzare tale funzione. La risposta è che il titolare può nominare un amministratore di sistema esterno, che in tal caso sarà nominato come responsabile esterno del trattamento ai sensi dell’art. 28 GDPR.

Attenzione però: la nomina deve essere individuale pertanto se viene nominata una persona giuridica allora tale società dovrà nominare al suo interno le persone fisiche preposte all’attività redigendo un elenco.

Occorre quindi che i titolari abbiano consapevolezza del ruolo fondamentale che ricopre l’amministratore di sistema e selezionino i candidati sulla base della loro capacità tecnica comprovata con adozione di misure di supervisione e controllo sul loro operato, quali per esempio la verifica della registrazione degli accessi logici effettuati dall’ads.

Avv. Francesca Ariodante