GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
La figura dell' amministratore di sistema


martedì 16 luglio 2019
Avv. Gianni Dell’Aiuto





L’amministratore di sistema, figura non espressamente prevista dal GDPR, è stato inquadrato in un provvedimento del Garante del 2008, che lo ha definito “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.

Ovviamente non assume la qualifica di amministratore di sistema chi intervenga solo sporadicamente o saltuariamente per riparazioni o piccoli malfunzionamenti. E quindi intuitivo come questa figura non si trovi in aziende di piccole dimensioni e, allo stesso modo, come non possa essere identificato nel Responsabile della Sicurezza.  

Importante notare che, ai sensi del D. Lgs. 101/2018, a decorrere dal 25 Maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto: a prescindere dai riferimenti testuali che sono superati, l'atto non sembra contenere prescrizioni incompatibili con il nuovo quadro giuridico europeo e, pertanto, la figura dell’amministratore di sistema, non abrogata in alcun modo, né sostituita da altre figure, rimane nel nostro ordinamento così come delineata nella richiamata definizione del Garante. Si tratta di quella figura con capacità principalmente tecniche e operative che si occupa della gestione dei software aziendali, delle mail ed ha responsabilità significative in relazione ai dati aziendali ed al loro trattamento, in quanto è la figura che ha la chiave di accesso e la responsabilità dell’intero sistema.

Nonostante, come detto, la figura non rientri tra quelle espressamente previste dal GDPR, è intuitivo come anche la sua nomina e le mansioni assumono particolare rilievo. Nessun dubbio che l’amministratore di sistema possa essere sia una risorsa interna all’azienda, sia una figura esterna. Nel primo caso è necessaria un’autorizzazione scritta all’esecuzione di compiti che dovranno essere indicati in maniera analitica; nel secondo caso, come anche per la nomina di un DPO, è necessaria la stipula di un contratto che preveda non solo le mansioni da svolgere, ma deve essere integrato da un formale atto di nomina che si ritiene opportuno non sia contenuto nello stesso corpo del contratto ai fini di una forma di pubblicità o conoscenza da parte di terzi.

  • Quali possono essere i compiti dell’amministratore di sistema? 

Tra le molteplici attività troviamo quello, importantissimo, di classificare le banche dati e organizzare un sistema di trattamento dei dati personali comuni e sensibili, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali. Allo stesso modo potrebbe essere la persona incaricata di individuare gli incaricati alla custodia delle chiavi per l’accesso al sistema, oltre ad impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici. La figura si inquadra pertanto perfettamente nella previsione normativa di privacy by design e by default che caratterizzano l’intero sistema del GDPR all’interno del quale può giocare un ruolo non secondario di progettazione e di innovazione dei processi organizzativi.

 




CONDIVIDI QUESTA PAGINA!