
Sentenza Cassazione su accesso abusivo e detenzione codici di accesso
27 Maggio 2019
BCR (Binding Corporate Rules): cosa sono?
10 Giugno 2019Indice degli argomenti
L’amministratore di sistema: chi è
L’amministratore di sistema, o anche sistemista, è una figura professionale che può operare sia in qualità di dipendente dell’azienda che come esterno (libero professionista o dipendente di azienda che offre servizi informatici).
I compiti del sistemista IT
L’amministratore di sistema è una figura professionale dedicata alla gestione dei vari sistemi informatici presenti all’interno di una rete: workstation, notebook, server, sistemi di backup, sistemi disponibili in rete, posta elettronica, sistemi di navigazione del web e filtraggio e così via.
Ogni organizzazione strutturata necessita evidentemente di una figura che assolva alla mansione di amministratore di sistema:
- inizialmente, per l’installazione di tutti i sistemi e per definire tutte le configurazioni necessarie al corretto funzionamento;
- successivamente, per la verifica della corretta funzionalità, per eseguire gli aggiornamenti di hardware e software, per riparare eventuali malfunzionamenti.
Al fine di evitare accessi indesiderati dall’esterno e, nelle organizzazioni più grandi, di gestire le autorizzazioni del personale, l’amministratore di sistema si occupa delle procedura di autenticazione da parte degli utenti.
Inoltre, per evitare perdita e compromissione di dati che possono poi comportare un data breach, l’amministratore di sistema si occupa di implementare le misure di sicurezza e i backup, progettando altresì le necessarie attività di supporto al “disaster recovery”.

Nomina dell’amministratore di sistema
Pur non essendo esplicitamente richiamato nel GDPR, il sistemista IT ha una fondamentale rilevanza nella gestione dei dati aziendali e riveste un ruolo particolare sul piano operativo all’interno dell’azienda.
La persona che riceve la nomina di amministratore di sistema ha anche implicitamente un ruolo di responsabilità nel trattamento dei dati digitali poichè interviene da un punto di vista tecnico su sistemi e reti, anche senza che necessariamente consulti o copi tali dati.
Questa figura è uno strumento importante sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento.
Solitamente rientra tra i compiti dell’amministratore di sistema quello di monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dei dati, mantenendo aggiornati i supporti hardware e software e, se necessario, comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati.
Tuttavia è doveroso precisare che la nomina di amministratore di sistema non trasforma una persona in un “tuttofare” dell’azienda: la nomina deve infatti essere estremamente dettagliata, riportando tutti i compiti in capo alla persona nominata.
Dunque l’utilizzo di un fac-simile per nomina amministratore di sistema potrebbe non essere la scelta ideale, dovendo individuare con precisione tutte le mansioni a lui/lei assegnate. Ove necessario BIT4LAW può offrire supporto nel definire un regolamento sull’uso degli strumenti aziendali e sui compiti degli amministratori di sistema, con definizione della lettera di incarico per nomina di amministratore di sistema.

Formazione dell’amministratore di sistema e implicazioni privacy
Alla luce di quanto riportato, la nomina ad amministratore di sistema non è operazione che può coinvolgere “il primo che capita”: per i principi definiti nel GDPR, il titolare del trattamento deve selezionare una figura che sia in possesso di tutti i requisiti per svolgere questa mansione, che sia qualificato tecnicamente e che abbia un minimo di formazione giuridica per capire cosa può fare e non può fare nell’ambito del proprio mandato.
In tal senso BIT4LAW si propone come partner per le aziende per la formazione degli amministratori di sistema e per l’esecuzione di audit periodici sull’operato degli amministratori di sistema in linea alle indicazioni del Garante privacy, come previsto dal provvedimento Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008(G.U. n. 300 del 24 dicembre 2008).
L’operato degli amministratori di sistema deve essere oggetto di verifica con cadenza almeno annuale, per acclarare che le attività svolte da chi ricopre l’incarico di sistemista siano effettivamente conformi alle mansioni attribuite, obbligo che risulta rinforzato alla luce del principio di “accountability” del nuovo GDPR.
Amministratore di sistema e DPO: compatibili?
Uno dei temi più interessanti è relativo alla compatibilità della nomina ad amministratore di sistema e a DPO per la stessa organizzazione: premesso che per svolgere il ruolo di DPO (Data Protection Officer) occorre avere competenze tecniche, giuridiche e organizzative, tale sovrapposizione di ruoli è sempre inopportuna in virtù del fatto che uno dei compiti del DPO è proprio quello di controllo dell’operato dell’amministratore di sistema.
Infatti il DPO può eseguire – anzi deve eseguire – degli audit sull’operato degli amministratori di sistema e può commissionare per tale scopo anche delle verifiche di sicurezza come dei vulnerability assessment e dei penetration test.
Senza dimenticare che la prima persona che dovrebbe rendersi conto di un eventuale violazione o perdita dei dati, accidentale od intenzionale che sia, è proprio l’amministratore di sistema che, con la sua attività quotidiana, svolge routine di sicurezza informatica volte a garanzia della struttura informatica.