Amministratore di sistema: chi è, cosa fa, chi lo nomina

Quando si parla di data protection, è necessario rammentare che esistono diverse figure fondamentali in azienda. Tra queste, è possibile citare l’amministratore di sistema. Di chi si tratta? Chi lo nomina? Prendendo spunto dagli articoli del blog ufficiale di privacylab.it, nelle prossime righe abbiamo raccolto alcune informazioni che speriamo possano esserti utili.

cosa fa l'amministratore di un sistema

Cosa fa l’amministratore di sistema?

L’amministratore di sistema è una figura che ha il compito di gestire diversi aspetti tecnici inerenti i dati personali trattati di un’azienda, dai dettagli relativi ai flussi fino al backup. Si tratta, chiaramente, di una figura che deve avere competenze molto tecniche, motivo per cui non è possibile sceglierla a caso.

Quali sono i riferimenti legislativi da considerare? Il principale è un provvedimento del Garante della Privacy risalente al 2008, che ricorda innanzitutto che la designazione dell’amministratore di sistema – non obbligatoria ma caldamente raccomandata – spetta al titolare del trattamento dei dati. La figura in questione procede, tramite un atto in cui si elencano in maniera dettagliata i compiti operativi, alla designazione individuale sopra menzionata.

Un altro aspetto da ricordare riguarda l’obbligatorietà del Documento Programmatico di Sicurezza. Quest’ultimo va compilato dal titolare e deve contenere:

  • I dati anagrafici di coloro i quali svolgono il ruolo di amministratori di sistema
  • L’elenco completo delle funzioni che sono state loro attribuite

Un caso particolare è quello che vede il ricorso ad amministratori di sistema in outsourcing. In tali frangenti, molto frequenti, l’elenco sopra citato può essere conservato nel tempo sia dal responsabile del trattamento dati, sia dal titolare.

Un altro aspetto sul quale vale la pena di soffermarsi riguarda la necessità, da parte del titolare, di adottare procedure di controllo idonee sugli accessi effettuati da parte dell’amministratore di sistema designato.

I punti da considerare non finiscono qui! Le informazioni relative agli accessi da parte degli amministratori di sistema, infatti, devono essere conservate per sei mesi almeno, con tutte le specifiche relative ai tempi e ai sistemi coinvolti.

Il trattamento dei dati dei dipendenti

La data protection, come forse già sai, è una materia molto complessa. Questo vuol dire che si può avere a che fare con un’ampia gamma di eventualità. Nel caso dell’amministratore di sistema, può capitare che la figura in questione proceda al trattamento dei dati dei dipendenti.

Cosa dice la legge in merito? Che è necessario che il personale aziendale sia a conoscenza dell’identità delle suddette figure. Spetta al titolare rendere edotti i dipendenti aziendali in merito, fornendo tutte le specifiche relative alle tipologie di dati trattati, a come avviene il trattamento e ai contesti in cui viene concretizzato.

Il punto di vista del GDPR

Quando si punta a rimanere aggiornati in ambito di data protection, il punto di riferimento principale è ovviamente il GDPR. Guardando nel dettaglio il Regolamento Europeo, non si trovano menzioni chiare alla figura dell’amministratore di sistema. Fondamentale, però, è specificare che, nell’articolo 32, lo si prende in considerazione come misura tecnica da parte del titolare del trattamento che ha il compito di adottare tutte le soluzioni possibili per garantire, in maniera commisurata al rischio, la sicurezza dei dati.

Il nodo della verifica

Quello che fa l’amministratore di sistema deve essere verificato dal titolare del trattamento dei dati. Il controllo sopra citato deve avere cadenza annuale. Entrando nel dettaglio delle procedure, facciamo presente che deve comprendere il focus sulle misure tecnico-organizzative, che devono essere adeguate alla situazione del momento, ma anche, in generale, la correttezza delle mansioni attribuite all’amministratore di sistema (in un anno, infatti, in un’azienda possono cambiare tantissime cose).

Alla luce del punto di vista del Garante ma anche del GDPR, l’operato dell’amministratore di sistema deve fare riferimento sia al principio di privacy by design, sia a quello di privacy by default.