AdS - Amministratore di sistema
In questo periodo transitorio arriveranno certamente
puntuali chiarimenti da parte della nostra Autorità Garante e interventi legislativi volti a chiarire
gli aspetti di interpretazione e di possibile conflitto.
In particolare sulla tematica "Amministratori
di sistema" (AdS)
non
sono ipotizzabili cambiamenti nel breve-medio termine, in quanto la tematica è
stata sviluppata dal Provvedimento in materia dell'Autorità Garante italiana
del 25/11/2008 (e s.m.i. del 25/9/2009) e il GDPR non scende su questo tema
specifico.
Per cui gli obblighi in materia continueranno sempre ad essere i seguenti:
- E' obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
- I titolari sono tenuti a riportare in un documento interno
gli estremi identificativi delle persone fisiche amministratori di
sistema, con l'elenco delle funzioni ad esse attribuite.
Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l'elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall'outsourcer). - Il Titolare deve adottare sistemi idonei alla registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L'accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell'evento e del sistema coinvolto.
- Qualora gli amministratori, nell'espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l'identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.
Inoltre vi è una particolare richiesta del
Provvedimento che non sempre viene considerata ed espletata dal Titolare:
L'operato degli amministratori di sistema
deve essere oggetto di verifica, con cadenza almeno annuale, per
acclarare che le attività svolte dall'amministratore siano effettivamente
conformi alle mansioni attribuite.
Questo obbligo periodico spesso viene disatteso
nonostante costituisca uno dei principi fondanti del Provvedimento.
Inoltre,
alla luce del principio di "accountability" del nuovo GDPR, questo obbligo
risulta rinforzato. In base a tale principio, l'art. 5 del GDPR individua nel Titolare
il soggetto competente a garantire il rispetto dei principi posti dalla nuova
disciplina in tema di trattamento dei dati personali.
E' fondamentale quindi che l'amministratore di sistema
(AdS) sia nominato, tenendo conto in primis delle sue capacità tecniche ma
anche degli aspetti morali e di condotta dello stesso in quanto l'azienda deve
poter dare piena fiducia a persone che ricoprono uno dei ruoli più
delicati della "Società dell'informazione".
La delicatezza del ruolo di amministratore di sistema è anche stato considerato
nella Legge 547/93 in cui sono previsti una serie di reati informatici che
possono essere commessi dall'AdS.
Ci si riferisce, in particolare, all'abuso della qualità di operatore di
sistema prevista dal codice penale per le fattispecie di accesso abusivo a
sistema informatico o telematico (art. 615 ter) e di frode informatica (art.
640 ter), nonché per le fattispecie di danneggiamento di informazioni,
dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di
sistemi informatici e telematici (artt. 635 quatere quinques) di recente
modifica.
Fonti WEB: CSQA, BCD Italia, Compet-e