Chi è l’Amministratore di sistema e che cosa fa
Chi è l’Amministratore di sistema e che cosa fa
Con il Provvedimento del Garante del 27 novembre 2008 (e s.m.i. del 25/6/2009) è stata definitivamente chiarita la figura ed il ruolo di un soggetto misterioso che era già ben noto a chi si è occupato di Privacy.
Questo soggetto, mai ben definito dal Codice, e, sempre difficilmente collocabile all’interno dell’ordinamento normativo riguardante la privacy, è l’Amministratore di Sistema (AdS).
Chi è l’ADS e quali sono i suoi compiti
Il Provvedimento definisce l’Amministratore di Sistema (AdS) come la figura professionale dedicata alla gestione e alla manutenzione degli impianti di elaborazione con cui vengono effettuati i trattamenti di dati personali. Può essere un ente, una società o anche una persona fisica. L’Amministratore di Sistema può assumere vari ruoli e funzioni a seconda delle competenze assegnate. E’ quindi, una figura professionale che approfondisce le competenze hardware e software soprattutto per quanto riguarda le caratteristiche delle architetture informatiche compresa la gestione e manutenzioni di database.
Amministratore di sistema: obblighi previsti dal GDPR
Il GDPR non interviene in modo diretto sulla figura dell’ AdS, non essendo infatti espressamente citata nel regolamento, tuttavia, in ottemperanza al principio di Accountability ( art. 5 ) e relativamente alle misure di sicurezza espresse nell’ art. 32 del Regolamento, resta sottintesa la sua presenza al fine di aumentare il livello di sicurezza di tutta l’infrastruttura informatica del Titolare o del Responsabile.
Il Titolare o Responsabile deve quindi scegliere il soggetto che verrà nominato AdS, valutandone i requisiti di esperienza, capacità e affidabilità, non essendo stabiliti dal Provvedimento del Garante precisi criteri o livelli di professionalità. L’ Ads deve garantire a sua volta il rispetto delle disposizioni in materia di privacy e data protection.
Designazione dell’Amministratore di sistema
Il Titolare o il Responsabile del trattamento, designano individualmente l’AdS secondo un preciso profilo di autorizzazione.
La lettera di incarico all’AdS dovrà contenere:
-l’attestazione che l’Ads ha le caratteristiche richieste dal Provvedimento del Garante;
-l’elencazione analitica delle funzioni e degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;
-l’indicazione delle “verifiche” almeno annuali che il Titolare svolgerà sulle attività svolte dall’ AdS
-l’indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi secondo le modalità richieste dalla legge.
Il controllo del Titolare sull’ operato dell’ Amministratore di sistema
L’operato degli AdS deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari o dei Responsabili del trattamento, in modo da monitorare la rispondenza alle funzioni ed ai compiti assegnati ed il rispetto delle misure organizzative, tecniche e di sicurezza. Il Titolare deve adottare inoltre idonei sistemi di controllo che consentano la registrazione degli accessi logici da parte degli amministratori, ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto.
Le sanzioni
Sia il Regolamento UE679/2016 che il D.lgs 196/03 non prevedono specifiche sanzioni in caso di mancata nomina dell’Amministratore di Sistema, ma, prevedono sanzioni amministrative e penali per la mancata adozione delle misure di sicurezza. Sotto l’aspetto penale la violazione delle norme sulle misure minime di sicurezza è sanzionata con l’arresto sino a due anni ex art. 169 comma 1 D.lgs.196/03.
Per saperne di più e ottenere una consulenza gratuita per la tua Azienda, contatta un nostro Consulente Sabicom!