AdS - Amministratore di sistema

In questo periodo transitorio arriveranno certamente puntuali chiarimenti da parte della nostra Autorità Garante e interventi legislativi volti a chiarire gli aspetti di interpretazione e di possibile conflitto.
In particolare sulla tematica "Amministratori di sistema" (AdS) non sono ipotizzabili cambiamenti nel breve-medio termine, in quanto la tematica è stata sviluppata dal Provvedimento in materia dell'Autorità Garante italiana del 25/11/2008 (e s.m.i. del 25/9/2009) e il GDPR non scende su questo tema specifico.
Per cui gli obblighi in materia continueranno sempre ad essere i seguenti:

  • E' obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
  • I titolari sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad esse attribuite.
    Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l'elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall'outsourcer).
  • Il Titolare deve adottare sistemi idonei alla registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L'accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell'evento e del sistema coinvolto.
  • Qualora gli amministratori, nell'espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l'identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.

Inoltre vi è una particolare richiesta del Provvedimento che non sempre viene considerata ed espletata dal Titolare:
L'operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall'amministratore siano effettivamente conformi alle mansioni attribuite.

Questo obbligo periodico spesso viene disatteso nonostante costituisca uno dei principi fondanti del Provvedimento.
Inoltre, alla luce del principio di "accountability" del nuovo GDPR, questo obbligo risulta rinforzato. In base a tale principio, l'art. 5 del GDPR individua nel Titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali.

E' fondamentale quindi che l'amministratore di sistema (AdS) sia nominato, tenendo conto in primis delle sue capacità tecniche ma anche degli aspetti morali e di condotta dello stesso in quanto l'azienda deve poter dare piena fiducia a persone che ricoprono uno dei ruoli più delicati della "Società dell'informazione".
La delicatezza del ruolo di amministratore di sistema è anche stato considerato nella Legge 547/93 in cui sono previsti una serie di reati informatici che possono essere commessi dall'AdS.
Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quatere quinques) di recente modifica.

Fonti WEB: CSQA, BCD Italia, Compet-e