AdS - Amministratore di Sistema

Pur non essendo esplicitamente richiamato
nel GDPR, ci sono ancora molti dubbi sulle prerogative e le funzioni attribuibili a questa figura professionale.
L'amministratore di sistema ha una considerevole responsabilità sui dati aziendali e
riveste un ruolo particolare sul piano operativo all'interno
dell'azienda.
Ma quali gli obblighi previsti dal Garante della Privacy e quali funzioni è tenuto ad ottemperare nel contesto della normativa GDPR ?
Soggetti esclusi dal provvedimento del Garante sugli amministratori di sistema:
Il provvedimento del Garante non si
applica alle piccole e medie imprese, ai liberi professionisti ed agli
artigiani che trattano i dati di altre imprese, amministrazioni,
clienti, fornitori e dipendenti, per adempiere a obblighi contrattuali o
normativi o, comunque, per ordinarie finalità amministrative e
contabili (si veda la prescrizione del Garante privacy e succ. modifie), doc. web n.
1577499 e doc web 1626595 reperibili sul sito del garante privacy.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1626595
Come definito nelle precedenti normative (Dlgs 196/2003) Il ruolo dell'amministratore di sistema compete a figure professionali dedicate alla gestione e manutenzione dei sistemi informativi aziendali ed alle lore componenti.
In particolare si era fatto riferimento all'allegato B del Codice Privacy, denominato "Disciplinare tecnico in materia di misure minime di sicurezza".
Questo documento è stato abrogato e sostituito dai concetti presenti
all'interno del nuovo Regolamento Europeo EU 2016/679 (il GDPR), in
particolare ci si riferisce a: accountability, privacy by design, privacy by default.
Nell'articolo 32 del Regolamento, rubricato "Sicurezza del trattamento", al punto 1) lett. a), b), c) e d) si fa riferimento ad alcune delle possibili tecniche per la salvaguardia dei dati in formato digitale.
Data la complessità di alcune delle stesse, come il backup e ripristino
dei dati o le tecniche di rilevazione delle criticità presenti nella
rete, si presume che la figura addetta a queste attività abbia
esperienza, capacità e affidabilità tipiche dell'amministratore di
sistema, come individuato nel provvedimento del Garante nel 2008.
All'interno dello stesso provvedimento il Garante specifica che la persona preposta alla nomina di AdS avrà implicitamente anche quella di "responsabile del trattamento interno o esterno" a seconda dei casi.
In
definitiva, il provvedimento del Garante del 2008 e il successivo del
2009 non sono stati abrogati dalle modifiche apportate dal D.lgs.
101/2018, come, invece, per altre parti del Codice Privacy.
Come può avvenire la nomina di amministratore di sistema?
Innanzitutto, è una nomina a titolo personale il cui operato deve essere oggetto, con cadenza almeno annuale,
di verifica da parte dei titolari o dei responsabili del trattamento.
Si prospettano due scenari, che
contemplano uno o più soggetti interni o esterni all'organizzazione:
interni all'organizzazione:
in questo caso possono essere autorizzati per iscritto allo svolgimento
delle mansioni e dei compiti assegnati, che dovranno essere elencati in
maniera analitica;
esterni all'organizzazione:
in questo caso sarà necessaria la stipula di un atto giuridico con cui
vengono designati come responsabili del trattamento, assegnando le
specifiche funzioni di Amministratore di Sistema ed elencando in maniera
analitica tutte le attività che verranno svolte.
fonte: Agenda digitale.eu, Privacy.it, cybersecurity360.it