Teutas - Diritto & Tecnologia

The Italian Authority for the protection of personal data has required new measures and arrangements for holders of processing data by electronic means, in relation to the functions of the "system administrator".

Con proprio provvedimento in data 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008, il Garante per la protezione dei dati personali ha prescritto nuove misure e accorgimenti per i titolari dei trattamenti dati effettuati con strumenti elettronici, relativamente alle attribuzioni delle funzioni di "amministratore di sistema".

Il provvedimento è stato emesso a seguito della necessità di adottare misure specifiche riguardo ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti "amministratori di sistema", nonchè riguardo a coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati; in qualche modo si è voluto evidenziare la rilevanza di questa figura (amministratore di sistema) rispetto ai trattamenti dei dati personali, rilevando altresì la necessità di promuovere presso i relativi titolari, ed anche nello stesso pubblico, la consapevolezza della peculiarità e responsabilità di tali mansioni.

Al contempo il Garante ha rilevato l'esigenza di consentire piu' agevolmente la conoscibilità dell'esistenza di tali figure, o di ruoli analoghi, svolti in relazione anche solamente ad alcune fasi del trattamento dei dati all'interno di enti e organizzazioni, promuovendo l'adozione di cautele specifiche nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente a misure ed accorgimenti, tecnici e organizzativi, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare.

Secondo il Garante per la protezione dei dati personali, il ruolo di amministratore di sistema è tale da far sì che l'individuazione del soggetto abbia una importanza basilare, paragonabile a quella delle altre scelte fondamentali che, unitamente a quelle tecnologiche, contribuiscono a incrementare la complessiva sicurezza dei trattamenti dei dati; l'individuazione del soggetto deve pertanto essere particolarmente curata, evitando incauti affidamenti sia dal punto di vista della capacità professionale, che dal punto di vista, e questa è forse la più importante novità, delle caratteristiche morali del soggetto stesso.

Per prima cosa il provvedimento del Garante definisce la figura "amministratore di sistema" come quella figura professionale finalizzata "...alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti..."; il provvedimento stabilisce inoltre la sostanziale equiparazione a tale ruolo di altre figure, come quella di amministratore di basi di dati, di amministratore di rete e di apparati di sicurezza, di amministratori di sistemi software complessi.

Il provvedimento rileva come gli amministratori di sistema così individuati, pur non essendo preposti ordinariamente a operazioni che implichino una perfetta e completa comprensione del dominio applicativo, siano però concretamente responsabili di fasi lavorative specifiche che possono comportare elevate criticità rispetto alla protezione dei dati.

In effetti vi sono alcune attività tecniche, come il backup ed il recovery dei dati, l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware, che comportano in molti casi una reale (anche se solo potenziale) capacità di azione sulle informazioni, capacità che deve essere considerata a tutti gli effetti alla stregua di un trattamento di dati personali.

In altri termini, il punto chiave del provvedimento è che "amministratore di sistema" lo si è anche quando non si consultino "in chiaro" le informazioni medesime, ma semplicemente si sia in grado di poterlo fare, avendone i privilegi informatici.

Al fine di rafforzare la tesi della specificità del ruolo, il provvedimento si ricollega pertanto ad alcune fattispecie criminose che prevedono circostanze aggravanti specifiche, qualificando appunto con diversa denominazione particolari funzioni tecniche che portano a conferire al ruolo dell'amministratore di sistema rilevanza, specificità e criticità; fra queste l'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615-ter), la frode informatica (art. 640-ter), le fattispecie di danneggiamento di informazioni, dati e programmi informatici (articoli 635-bis e ter), il danneggiamento di sistemi informatici e telematici (articoli 635-quater e quinques) di recente modifica.

Il ruolo di "amministratore di sistema" pur essendo stato già definito dalla disciplina previgente al 2003 come soggetto "... al quale e' conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione..." (art. 1, comma 1, lettera c) decreto del Presidente della Repubblica n. 318/1999), non era stato invece incluso fra le definizioni normative del Codice per la protezione dei dati personali (D. Lgs. 30 giugno 2003, n. 196), malgrado se ne richiamassero le funzioni tipiche nell'allegato B, nella parte in cui si prevedeva l'obbligo, per i titolari, di assicurare la custodia delle componenti riservate delle credenziali di autenticazione; in effetti la maggior parte dei compiti previsti appunto nell'allegato B sono proprio quelli tipici dell'amministratore di sistema (backup, recovery, custodia delle credenziali di gestione dei sistemi di autenticazione ed autorizzazione, ecc.).

In definitiva il provvedimento del Garante, dopo aver identificato il ruolo dell'amministratore di sistema, come uno dei ruoli più delicati della "società dell'informazione", ne sancisce la peculiarità, dovuta alla "particolare capacità di azione propria..." e alla "...natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento e' previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta...", stabilendo regole precise per il conferimento di questo ruolo, richiamando tutti i titolari di trattamenti, effettuati anche solo in parte mediante strumenti elettronici, alla necessita' di prestare massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema.

Il provvedimento, che rientra fra i compiti dell'Autorità garante previsti dal Codice all'art. 154, comma 1, lettera c) e lettera h), richiamando i titolari dei trattamenti dei dati personali alle responsabilità penali e civili previste dallo stesso Codice agli articoli 15 e 169, responsabilità derivanti da incauta o inidonea designazione, prevede che l'attribuzione delle funzioni di "amministratore di sistema" (funzioni che come è stato evidenziato sono ovviamente presenti in qualsiasi sistema che preveda il trattamento di dati personali) debba avvenire secondo le seguenti regole:

1. l'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione di una serie di caratteristiche soggettive che sono l'esperienza, la capacità e l'affidabilità del soggetto designato;

2. il soggetto nominato (l'amministratore di sistema) deve fornire idonee garanzie del pieno rispetto delle vigenti disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza;

3. anche quando le funzioni di amministratore di sistema o assimilate siano attribuite solamente nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile dovranno attenersi comunque a criteri di valutazione equipollenti;

4. il documento programmatico sulla sicurezza deve riportare l'elenco degli amministratori di sistema con le funzioni loro attribuite;

5. nel caso non vi sia l'obbligo di redazione del documento si dovrà comunque redigere l'elenco in un documento interno da mantenere costantemente aggiornato e a disposizione per gli eventuali controlli del Garante;

6. qualora l'attività degli amministratori di sistema possa riguardare, anche in modo indiretto, la trattazione di informazioni di carattere personale relative a lavoratori, questi ultimi devono essere messi a conoscenza dell'identità degli amministratori di sistema;

7. le stesse norme valgono per i servizi affidati in outsourcing;

8. con cadenza almeno annuale si deve predisporre una verifica da parte dei titolari del trattamento dei dati, così da controllare le reale rispondenza delle misure organizzative, tecniche e di sicurezza;

9. deve essere prevista la registrazione degli accessi al sistema con idonei sistemi di autenticazione informatica ("access log"), sistemi con caratteristiche di completezza, inalterabilità e possibilità di verifica dell'integrità;

10. le registrazioni degli accessi devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un periodo congruo rispetto dai dati trattati, comunque non inferiore a sei mesi.



L'entrata in funzione del provvedimento del Garante è immediata per i nuovi trattamenti dati, mentre per quelli attivati entro 30 giorni dalla pubblicazione del provvedimento o precedentemente al provvedimento stesso, i titolari hanno un periodo massimo di 120 giorni per l'adeguamento alle norme del provvedimento.

Ci dobbiamo a questo punto chiedere quali obblighi abbia un ente locale, che gestisce, specialmente quando è grande, pressoché la totalità delle procedure in modo informatico.

Non vi è dubbio che alla luce del provvedimento del garante, molte di quelle figure interne all'ente, precedentemente definite prima come semplici "titolari del trattamento dei dati" diverranno veri e propri "amministratori di sistema"; negli enti più grandi vi saranno invece figure di "amministratore di sistema" specifiche, indipendenti dai titolari del trattamento dei dati per le varie procedure.

Nella maggioranza dei casi quindi gli amministratori di sistema saranno in numero inferiore rispetto ai titolari del trattamento dei dati e questo in dipendenza dell'organizzazione dei sistemi informatici; per esempio in alcuni enti, quelli più piccoli, l'amministratore di sistema potrebbe essere uno solo, presso il centro elaborazione dati (preposto ai backup ed ai recovery dei dati sul server aziendale, all'assegnazione degli account sulla rete aziendale), mentre i titolari del trattamento dei dati saranno più di uno, per ogni specifica procedura (esempio: uno per i dati anagrafici, uno per i dati dell'ufficio tributi, uno per i dati dei dipendenti detenuti dall'ufficio personale, ecc.).

Mentre i criteri di individuazione dei soggetti, da un punto di vista delle loro capacità e caratteristiche sono previsti dal provvedimento (sono quelli sopra elencati), potrebbe risultare non semplice l'individuazione di criteri utili a capire chi si debba individuare come "amministratore del sistema" nell'ambito dell'attuale organizzazione, con riferimento alle procedure trattate in modalità informatica.

Alla luce del provvedimento, ed in pratica, gli "amministratori di sistema" saranno coloro:

- preposti al salvataggio e recupero dei dati di software che gestiscono basi di dati relative a persone fisiche (esempio: la procedura anagrafica, la procedura per la gestione delle buste paga, la procedura per la gestione del procedimento sanzionatorio del codice della strada, ecc.), a meno che non si tratti del lancio di una mera procedura, senza possibilità alcuna di accesso diretto ai dati stessi (esempio: i dati si trovano su un server ed il salvataggio avvviene tramite una procedura automatizzata semplicemente da lanciare) ovvero preposti all'accesso alle unità di memorizzazione di massa;

- preposti alla creazione ed alla modifica di account su software che gestiscono basi di dati relative a persone fisiche;

- che possiedano un account a livello di supervisor su procedure che gestiscono basi di dati relative a persone fisiche.

Verso questi soggetti il titolare di ogni trattamento dei dati dovrà procedere ad una nomina come "amministratore di sistema", una volta verificati i requisiti soggettivi previsti dal provvedimento.

Nel caso che l'ente utilizzi procedure in outsourcing, si potranno avere invece due ipotesi (per ogni procedura esternalizzata):

- outsourcing totale: l'amministratore del sistema è uno solo, esterno all'ente, l'ente dovrà comunque verificarne i requisiti come da provvedimento del Garante ed essere a conoscenza di ogni modifica negli stessi, così da verificarne costantemente la corrispondenza;

- outsourcing parziale: potranno esservi due amministratori di sistema. Uno interno all'ente, per i dati detenuti all'interno della struttura, uno esterno, responsabile del sistema che gestisce le informazioni in outsourcing.

Sicuramente a seguito dell'entrata in vigore del provvedimento del Garante del quale qui trattiamo sarà necessaria, da parte di ogni ente locale, una attività di analisi delle procedure in essere, ai fini del corretto e consapevole conferimento della qualifica di amministratore di sistema, tenuto conto delle gravi responsabilità, anche penali, del titolare del trattamento dati (e quindi anche dei dirigenti) sancite dagli articoli 15 ("Danni cagionati per effetto del trattamento - 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile...") e 169 ("Misure di sicurezza - 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 e' punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro...") del Codice in materia di protezione dei dati personali.

---

Aggiungi questo articolo ai tuoi social bookmarks preferiti