AdS - Amministratore di Sistema

20.04.2019

Pur non essendo esplicitamente richiamato nel GDPR, ci sono ancora molti dubbi sulle prerogative e le funzioni attribuibili a questa figura professionale.

L'amministratore di sistema ha una considerevole responsabilità sui dati aziendali e riveste un ruolo particolare sul piano operativo all'interno dell'azienda.
Ma quali gli obblighi previsti dal Garante della Privacy e quali funzioni è tenuto ad ottemperare nel contesto della normativa GDPR ?
Soggetti esclusi dal provvedimento del Garante sugli amministratori di sistema:

Il provvedimento del Garante non si applica alle piccole e medie imprese, ai liberi professionisti ed agli artigiani che trattano i dati di altre imprese, amministrazioni, clienti, fornitori e dipendenti, per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili (si veda la prescrizione del Garante privacy e succ. modifie), doc. web n. 1577499 e doc web 1626595 reperibili sul sito del garante privacy.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1626595

Come definito nelle precedenti normative (Dlgs 196/2003) Il ruolo dell'amministratore di sistema compete a figure professionali dedicate alla gestione e manutenzione dei sistemi informativi aziendali ed alle lore componenti.
In particolare si era fatto riferimento all'allegato B del Codice Privacy, denominato "Disciplinare tecnico in materia di misure minime di sicurezza".
Questo documento è stato abrogato e sostituito dai concetti presenti all'interno del nuovo Regolamento Europeo EU 2016/679 (il GDPR), in particolare ci si riferisce a: accountability, privacy by design, privacy by default.
Nell'articolo 32 del Regolamento, rubricato "Sicurezza del trattamento", al punto 1) lett. a), b), c) e d) si fa riferimento ad alcune delle possibili tecniche per la salvaguardia dei dati in formato digitale. Data la complessità di alcune delle stesse, come il backup e ripristino dei dati o le tecniche di rilevazione delle criticità presenti nella rete, si presume che la figura addetta a queste attività abbia esperienza, capacità e affidabilità tipiche dell'amministratore di sistema, come individuato nel provvedimento del Garante nel 2008.
All'interno dello stesso provvedimento il Garante specifica che la persona preposta alla nomina di AdS avrà implicitamente anche quella di "responsabile del trattamento interno o esterno" a seconda dei casi.
In definitiva, il provvedimento del Garante del 2008 e il successivo del 2009 non sono stati abrogati dalle modifiche apportate dal D.lgs. 101/2018, come, invece, per altre parti del Codice Privacy.

Come può avvenire la nomina di amministratore di sistema?
Innanzitutto, è una nomina a titolo personale il cui operato deve essere oggetto, con cadenza almeno annuale, di verifica da parte dei titolari o dei responsabili del trattamento.
Si prospettano due scenari, che contemplano uno o più soggetti interni o esterni all'organizzazione:
interni all'organizzazione: in questo caso possono essere autorizzati per iscritto allo svolgimento delle mansioni e dei compiti assegnati, che dovranno essere elencati in maniera analitica;
esterni all'organizzazione
: in questo caso sarà necessaria la stipula di un atto giuridico con cui vengono designati come responsabili del trattamento, assegnando le specifiche funzioni di Amministratore di Sistema ed elencando in maniera analitica tutte le attività che verranno svolte.

fonte: Agenda digitale.eu, Privacy.it, cybersecurity360.it