Ai sensi del GDPR, qualora il Titolare (o Responsabile) ritenga di voler nominare un Amministratore di Ssistema secondo il principio di autodeterminazione, responsabilizzazione e rendicontazione (anche, accountability), bisognerà adempiere agli obblighi previsti dalla normativa, previsti anche in un passaggio dello stesso Provvedimento del 2008 che già in allora evidenziava come “l’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.
Nel previgente Codice Privacy sussisteva una distinzione tra responsabile interno ed esterno, che ad oggi invece manca nel GDPR, avendo come unici riferimenti le figure dell’autorizzato e del responsabile del trattamento (nella pratica chiamato anche “responsabile esterno”).
Più precisamente, la figura dell’autorizzato viene definita solo nell’articolo 2-quaterdecies del Codice Privacy novellato e in tali termini:
“1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.
Nel testo del Regolamento europeo, invece, il perimetro di tale figura può essere derivato solo indirettamente, come dimostrano la portata degli articoli 29 e 32 par. 4 e del considerando 29. E così, rispettivamente:
- “Chiunque agisca sotto la autorità del responsabile del trattamento o sotto quella del titolare del trattamento, ed abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal (solo) titolare del trattamento”
- “Chiunque agisca sotto la autorità del responsabile del trattamento o sotto quella del titolare del trattamento e che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’unione o degli stati membri”;
- “Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento”.
Amministratore di Sistema e responsabile del trattamento
Come si è visto, il Garante (nel Provvedimento 2008) sembrava sostanzialmente prevedere e suggerire l’individuazione nella figura dell’AdS di elementi e qualifiche soggettive riconducibili all’art. 29 del Codice della privacy (dedicato al Responsabile del trattamento), pur lasciando aperta la possibilità di qualificazione dello stesso quale “autorizzato”, sottolineando che “anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29”.
In tal senso, quindi, si ritiene che la qualificazione più corretta di tale figura rientri in quella di Responsabile, anche in virtù dell’ampia autonomia e della facoltà di azione di norma riconosciute all’AdS.
In caso di esternalizzazione del ruolo/servizio, l’Amministratore di sistema verrà certamente individuato quale responsabile del trattamento, trovando applicazione il dettato dell’articolo 28 GDPR, e dovendo – quindi – il Titolare designare il responsabile per tramite di un contratto o di altro atto giuridico a norma del diritto dell’unione o degli stati membri, che sia vincolante e che stipuli la materia disciplinata; la durata del trattamento; la natura e la finalità del trattamento; il tipo di dati personali trattati; le categorie di interessati; gli obblighi e i diritti del titolare del trattamento.
La forma di tale atto dovrà essere quella scritta (o equivalente), essendo ammesso anche il formato elettronico.
Volendo riassumere, dunque, ad oggi gli obblighi ricadenti in capo al Titolare – mutuati tanto dal Provvedimento del 2008 quando dall’attuale normativa privacy – gli stessi possono essere individuati nei seguenti:
- designare il/gli amministratori di sistema, elencando gli ambiti di operatività e il profilo di autorizzazione assegnato;
- riportare nella documentazione aziendale l’elenco delle persone nominate amministratori di sistema;
- adottare idonei sistemi di controllo e di registrazione degli accessi logici da parte degli amministratori, da conservarsi per almeno 6 mesi al fine di poter essere oggetto di verifica.
Ex art. 4.5 del Provvedimento: “Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”;
- verificare l’operato degli amministratori di sistema con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti (art. 4.4 Provvedimento 2008).
A ciò si aggiunga che se, durante lo svolgimento del loro compiti, gli Amministratori di sistema si trovassero a trattare dati personali dei lavoratori, il Titolare dovrà assicurarsi di informare debitamente i dipendenti in relazione all’identità degli Amministratori, nonché alla tipologia, alle modalità e alle caratteristiche di tale trattamento.
All’articolo 4.3 del Provvedimento del 2008, infatti, si prevedeva espressamente che:
“Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità’ degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini)”.
Ma con quali modalità?
- informativa ex art. 13 del GDPR (in precedenza ex art. 13 del Codice Privacy)
- disciplinare tecnico;
- altri strumenti di comunicazione interna (ad es. intranet aziendale).
Quali sono i rischi derivanti dalle attività un Amministratore di Sistema
Infine, è bene analizzare – seppur brevemente – i profili di esposizione al rischio a cui può essere soggetto l’amministratore di sistema in prima persona.
Questi possono certamente riguardare differenti forme di responsabilità, quali ad esempio quelle per violazioni penalmente rilevanti; per inadempimento degli obblighi derivanti dal rapporto di lavoro; per violazione contrattuale o di norme di diritto del lavoro; per violazioni in materia di data protection (GDPR e del Codice privacy).
Sotto il primo profilo, è lo stesso Garante nel Provvedimento ad evidenziare che qualora abusi della qualità di operatore del sistema, l’AdS potrà incorrere in reati quali, ad esempio, l’accesso abusivo a sistema informatico telematico (art. 615-ter), la frode informatica (art. 640-ter), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis e -ter) e il danneggiamento di sistemi informatici telematici (art. 635-quater e -quinquies).
Sempre in tema di responsabilità penale, o meglio, amministrativa degli enti, così richiamando l’applicazione del D.lgs. 231/2001, non vanno dimenticate neppure le ricadute in punto di commissione dei reati – ad esempio – di frode informatica, di accesso abusivo a sistema informatico e/o di danneggiamento, che potrebbero comportare, da un lato, la responsabilità personale del reo e, dall’altro, la responsabilità amministrativa della persona giuridica.
Diversamente, con riferimento all’impianto di responsabilità in materia di privacy, si potrebbe profilare il reato di trattamento illecito di dati personali ex artt. 167, 167-bis e 167-ter del Codice privacy come novellato dal D.lgs. 101/2018.
Da ultimo e con riferimento all’esecuzione delle obbligazioni contrattuali, bisogneranno distinguersi due fattispecie:
– qualora l’AdS sia dipendente del Titolare, dovrà guardarsi alle norme giuslavoristiche, potendo avere luogo una violazione degli obblighi e delle istruzioni impartite dal datore che comporterà l’applicazione delle sanzioni disciplinari;
– nel caso in cui l’Amministratore sia, invece, un soggetto esterno, e quindi l’attività sia data in outsourcing, una violazione degli obblighi dovrà essere riportata nel perimetro delle responsabilità contrattuali per inadempimento.
Articolo originariamente pubblicato il 03 Feb 2023