L'amministratore di sistema, questo sconosciuto
Risale al 27 novembre 2008 il Provvedimento del Garante avente ad oggetto “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, poi modificato nel 2009. Non è dunque di ieri, eppure risulta ancora (e non di rado) del tutto ignorato.
Vale per esso, ovviamente, la disposizione transitoria e finale del D.L. 101/2018, art. 22, comma 4, per la quale “a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto”: a prescindere dai riferimenti testuali che sono superati, l'atto non sembra contenere prescrizioni incompatibili con il nuovo quadro giuridico europeo.
Da quando è stato soppresso (ad opera del D. Lgs. 196/2003) il D.P.R. 318/1999, l'ordinamento 'privacy' non conoscerebbe definizione dell'amministratore di sistema , se non fosse per il Provvedimento in esame.
Vale allora la pena di riportare anzitutto tale definizione: con il termine "amministratore di sistema" (d'ora in poi qui 'AdS') si intendono generalmente, “in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.”
Nella sua inevitabile generalità, la definizione lascia emergere tutta l'importanza e la delicatezza della funzione all'interno di qualsivoglia organizzazione grande o piccola, privata o pubblica; addirittura divenendo essa strategica, se è vero non solo che la stragrande maggioranza dei trattamenti e delle banche di dati ha ormai luogo in ambiente digitale e telematico, ma anche che in tale ambiente si insediano le prospettive di sviluppo del business e comunque delle attività svolte dai Titolari.
Si possono richiamare, in particolare, le misure cosiddette di privacy by design e privacy by default quali ambiti di operatività nei quali l'AdS può giocare un ruolo non secondario di progettazione e di innovazione dei processi organizzativi.
Si può anche sostenere che l'AdS sia un vero deus ex machina, anche se spesso e volentieri è confuso con il tecnico che aggiusta e risolve i piccoli, quotidiani accidenti di una rete informatica e/o di sue singole componenti (non che non possa attendere anche a questo compito, ci mancherebbe).
Costui è per lo più il professionista che governa la sicurezza e l'efficienza della rete informatica dell'organizzazione e dunque è in primis un collaboratore prezioso, fondamentale, della Direzione, da inquadrare opportunamente quale funzione di staff della stessa. Nell'amministrare il sistema va da sé che l'AdS svolga una imprescindibile attività di controllo e di monitoraggio, tanto che la regolamentazione della sua attività appare rilevante ai fini di una efficace prevenzione dei reati organizzativi (D. Lgs. 231/2001).
Non stupisce pertanto che il Garante abbia inteso, con il Provvedimento in esame, non soltanto dettare una definizione altrimenti assente e così fornire un orientamento agli operatori, ma anche ribadire un principio che vale in ogni contesto organizzativo: nessuno può godere di un potere assoluto e, se così è per il datore di lavoro, figurarsi se ciò non debba valere per questa funzione, onde evitare che il potere ad essa riconosciuto si faccia surrettiziamente intrusivo, incontrastato, illimitato.
Se l'AdS è una sorta di super-controllore della integrità del capitale info-telematico dell'organizzazione, il super-controllore deve a sua volta essere controllato. Qui emerge l'efficacia deterrente del principio: una volta che dalla enunciazione formale si passi alla concreta attuazione, il super-controllore, dovendo rendere conto a qualcuno del proprio operato, sarà scoraggiato (ove così intendesse) dal porre in essere condotte abusive o comunque sganciate dai compiti affidati.
E' tutto qui, a ben vedere, il nocciolo del Provvedimento.
Alla luce di questo significato essenziale si possono leggere le prescrizioni che il Provvedimento formalizza, in sintesi:
- la funzione deve essere affidata a soggetti dotati di adeguati esperienza, capacità e affidabilità (4.1): il Titolare deve selezionare con scrupolo un soggetto idoneo, profilandosi una responsabilità per culpa in eligendo qualora il nominato, non essendo in possesso di quei requisiti, ponga in essere condotte o atti pregiudizievoli;
- la nomina deve essere individuale (4.2), deve cioè riguardare la persona fisica preposta (o più di una, se si vuole) anche quando il servizio sia affidato in outsourcing (4.3);
- la nomina deve specificare gli ambiti di operatività (compiti e responsabilità) consentiti in base al profilo di autorizzazione assegnato (ancora 4.2);
- l'operato della funzione deve essere oggetto di una attività di verifica da parte del Titolare (o del Responsabile se l'AdS risponde a quest'ultimo), in modo “da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali” (4.4);
- la periodicità della verifica deve essere almeno annuale (4.4): essa è da stabilire, concretamente, in coerenza con i tempi di conservazione delle registrazioni degli accessi logici ai sistemi di elaborazione e agli archivi elettronici;
- gli accessi logici debbono avere precise caratteristiche: completezza, inalterabilità, possibilità di verifica della loro integrità, inclusione delle informazioni sui riferimenti temporali e descrittive degli eventi che le hanno generate (4.5);
- le dette registrazioni debbono essere conservate per un periodo minimo di n. 6 mesi (4.5).
La verifica del Titolare (o del Responsabile) si rende tecnicamente possibile con l'implementazione di software preordinati allo scopo. Talvolta questi software vengono proposti ai Titolari assicurandone la “conformità al GDPR”: per quanto già scritto, tuttavia, non è questo attributo che deve interessare al potenziale acquirente, che dovrebbe semmai formalizzare, nella richiesta di preventivo o nel contratto di acquisto del software, il requisito della conformità al Provvedimento del Garante del 27 novembre 2008.
C'è, per concludere, un palese nesso logico-giuridico tra il Provvedimento e la nuova normativa europea. Mi pare di doverlo rintracciare nell'art. 32 del Regolamento UE 2016/679: le cautele in materia di AdS non sono altro che alcune delle misure tecniche ed organizzative finalizzate a garantire la sicurezza dei trattamenti.