Compliance

Amministratore di Sistema: misure e accorgimenti da adottare per i trattamenti con strumenti elettronici

Qualora il Titolare (o Responsabile) ritenga di voler nominare un Amministratore di Sistema secondo il principio di autodeterminazione, responsabilizzazione e rendicontazione (anche, accountability), bisognerà adempiere agli obblighi previsti dalla normativa. Quali sono i rischi derivanti da tale attività

Aggiornato il 03 Feb 2023

Anna Capoluongo

Avvocato, DPO, Vicepresidente I.R.L.E.S.S., membro GdL sull’intelligenza artificiale (ANORC)

security-2910624_1920

Ai sensi del GDPR, qualora il Titolare (o Responsabile) ritenga di voler nominare un Amministratore di Ssistema secondo il principio di autodeterminazione, responsabilizzazione e rendicontazione (anche, accountability), bisognerà adempiere agli obblighi previsti dalla normativa, previsti anche in un passaggio dello stesso Provvedimento del 2008 che già in allora evidenziava come “l’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.

Nel previgente Codice Privacy sussisteva una distinzione tra responsabile interno ed esterno, che ad oggi invece manca nel GDPR, avendo come unici riferimenti le figure dell’autorizzato e del responsabile del trattamento (nella pratica chiamato anche “responsabile esterno”).

Più precisamente, la figura dell’autorizzato viene definita solo nell’articolo 2-quaterdecies del Codice Privacy novellato e in tali termini:

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Nel testo del Regolamento europeo, invece, il perimetro di tale figura può essere derivato solo indirettamente, come dimostrano la portata degli articoli 29 e 32 par. 4 e del considerando 29. E così, rispettivamente:

  • Chiunque agisca sotto la autorità del responsabile del trattamento o sotto quella del titolare del trattamento, ed abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal (solo) titolare del trattamento
  • Chiunque agisca sotto la autorità del responsabile del trattamento o sotto quella del titolare del trattamento e che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’unione o degli stati membri”;
  • “Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento”.

Amministratore di Sistema e responsabile del trattamento

Come si è visto, il Garante (nel Provvedimento 2008) sembrava sostanzialmente prevedere e suggerire l’individuazione nella figura dell’AdS di elementi e qualifiche soggettive riconducibili all’art. 29 del Codice della privacy (dedicato al Responsabile del trattamento), pur lasciando aperta la possibilità di qualificazione dello stesso quale “autorizzato”, sottolineando che “anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29”.

In tal senso, quindi, si ritiene che la qualificazione più corretta di tale figura rientri in quella di Responsabile, anche in virtù dell’ampia autonomia e della facoltà di azione di norma riconosciute all’AdS.

In caso di esternalizzazione del ruolo/servizio, l’Amministratore di sistema verrà certamente individuato quale responsabile del trattamento, trovando applicazione il dettato dell’articolo 28 GDPR, e dovendo – quindi – il Titolare designare il responsabile per tramite di un contratto o di altro atto giuridico a norma del diritto dell’unione o degli stati membri, che sia vincolante e che stipuli la materia disciplinata; la durata del trattamento; la natura e la finalità del trattamento; il tipo di dati personali trattati; le categorie di interessati; gli obblighi e i diritti del titolare del trattamento.

La forma di tale atto dovrà essere quella scritta (o equivalente), essendo ammesso anche il formato elettronico.

Volendo riassumere, dunque, ad oggi gli obblighi ricadenti in capo al Titolare – mutuati tanto dal Provvedimento del 2008 quando dall’attuale normativa privacy – gli stessi possono essere individuati nei seguenti:

  • designare il/gli amministratori di sistema, elencando gli ambiti di operatività e il profilo di autorizzazione assegnato;
  • riportare nella documentazione aziendale l’elenco delle persone nominate amministratori di sistema;
  • adottare idonei sistemi di controllo e di registrazione degli accessi logici da parte degli amministratori, da conservarsi per almeno 6 mesi al fine di poter essere oggetto di verifica.

Ex art. 4.5 del Provvedimento: “Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”;

  • verificare l’operato degli amministratori di sistema con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti (art. 4.4 Provvedimento 2008).

A ciò si aggiunga che se, durante lo svolgimento del loro compiti, gli Amministratori di sistema si trovassero a trattare dati personali dei lavoratori, il Titolare dovrà assicurarsi di informare debitamente i dipendenti in relazione all’identità degli Amministratori, nonché alla tipologia, alle modalità e alle caratteristiche di tale trattamento.

All’articolo 4.3 del Provvedimento del 2008, infatti, si prevedeva espressamente che:

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità’ degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini)”.

Ma con quali modalità?

  1. informativa ex art. 13 del GDPR (in precedenza ex art. 13 del Codice Privacy)
  2. disciplinare tecnico;
  3. altri strumenti di comunicazione interna (ad es. intranet aziendale).

Quali sono i rischi derivanti dalle attività un Amministratore di Sistema

Infine, è bene analizzare – seppur brevemente – i profili di esposizione al rischio a cui può essere soggetto l’amministratore di sistema in prima persona.

Questi possono certamente riguardare differenti forme di responsabilità, quali ad esempio quelle per violazioni penalmente rilevanti; per inadempimento degli obblighi derivanti dal rapporto di lavoro; per violazione contrattuale o di norme di diritto del lavoro; per violazioni in materia di data protection (GDPR e del Codice privacy).

Sotto il primo profilo, è lo stesso Garante nel Provvedimento ad evidenziare che qualora abusi della qualità di operatore del sistema, l’AdS potrà incorrere in reati quali, ad esempio, l’accesso abusivo a sistema informatico telematico (art. 615-ter), la frode informatica (art. 640-ter), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis e -ter) e il danneggiamento di sistemi informatici telematici (art. 635-quater e -quinquies).

Sempre in tema di responsabilità penale, o meglio, amministrativa degli enti, così richiamando l’applicazione del D.lgs. 231/2001, non vanno dimenticate neppure le ricadute in punto di commissione dei reati – ad esempio – di frode informatica, di accesso abusivo a sistema informatico e/o di danneggiamento, che potrebbero comportare, da un lato, la responsabilità personale del reo e, dall’altro, la responsabilità amministrativa della persona giuridica.

Diversamente, con riferimento all’impianto di responsabilità in materia di privacy, si potrebbe profilare il reato di trattamento illecito di dati personali ex artt. 167, 167-bis e 167-ter del Codice privacy come novellato dal D.lgs. 101/2018.

Da ultimo e con riferimento all’esecuzione delle obbligazioni contrattuali, bisogneranno distinguersi due fattispecie:

– qualora l’AdS sia dipendente del Titolare, dovrà guardarsi alle norme giuslavoristiche, potendo avere luogo una violazione degli obblighi e delle istruzioni impartite dal datore che comporterà l’applicazione delle sanzioni disciplinari;

– nel caso in cui l’Amministratore sia, invece, un soggetto esterno, e quindi l’attività sia data in outsourcing, una violazione degli obblighi dovrà essere riportata nel perimetro delle responsabilità contrattuali per inadempimento.

Articolo originariamente pubblicato il 03 Feb 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!


Argomenti


Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2