Se fossimo in un romanzo giallo o di fantapolitica, la figura dell’amministratore di sistema potrebbe essere quella di un fantomatico “grande vecchio”: una figura che sappiamo che c’è, non si vede, ma è sempre presente. La sua figura viene delineata già negli anni novanta, con l’ingresso dell’informatica nelle aziende, ma non trova ingresso nel D. Lgs. 196/2003; il GDPR non lo definisce, ma ne richiama figura e funzioni.

Per cercare di dare una definizione dobbiamo richiamarci a provvedimenti del Garante che lo identificano nella persona addetta alle reti informatiche, sistemi di sicurezza e database: quella figura professionale che si occupa dell’intera gestione, manutenzione e di tutte le attività inerenti agli impianti di elaborazione dati e delle componenti. Non il semplice smanettone, ma una risorsa con una professionalità ben delineata e con non poche responsabilità verso l’azienda, specialmente da quando è intervenuto il GDPR. E’ infatti la figura nella quale rientrano gli amministratori di banche dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. E’ il depositario delle credenziali di autenticazione e dei codici di accesso ai sistemi aziendali.

Il GDPR ne parla all'art. 32 quando, occupandosi della sicurezza del trattamento, parla delle necessarie misure tecniche per la salvaguardia dei dati: inutile dire che la risorsa incaricata di questa attività tecnica debba disporre di competenze e preparazione, oltre a una profonda conoscenza dell’azienda; una definizione per l’amministratore di sistema che si avvicina molto a quella data dal Garante già nel 2008 che, nello stesso provvedimento, attribuiva implicitamente al soggetto preposto alla nomina di questa figura anche quella di responsabile del trattamento. Questo provvedimento del Garante, così come uno successivo del 2009, non è venuto meno con l’introduzione del GDPR e, pertanto, la definizione rimane valida.

Particolare attenzione deve essere posta sulla nomina dell’amministratore di sistema: è chiaro ed intuitivo che si tratta di un atto a titolo personale, stante il rapporto fiduciario che deve intercorrere con il Titolare del trattamento. Ovviamente l’incarico può essere assunto da una figura esterna all’azienda e, in questo caso, si ritiene opportuno e consigliabile non inserire la nomina nel contratto con cui viene instaurato il rapporto e predisporre un atto di nomina a parte che possa essere eventualmente opposto a terzi.

Sempre in merito all’importanza del ruolo, occorre richiamare anche l’art. 29 del GDPR che, in maniera decisamente chiara, fa rientrare l’amministratore di sistema in quelle figure che, agendo sotto l’autorità del Responsabile o del Titolare, ha accesso sui dati personali. L’obiezione che trattando aspetti solo tecnici l’amministratore di sistema non acceda materialmente ai dati è ben superata dal rilievo che, comunque, agendo su tutte le strutture informatiche aziendali, ha la possibilità di accedervi, specialmente per operazioni di verifica o di backup.