Una delle figure che più comunemente si ritrova ad avere a che fare con i dati personali è quella del soggetto che, interno od esterno, si occupa delle infrastrutture informatiche aziendali.
Dal manager IT interno nelle grandi imprese, al fornitore esterno del gestionale fino al piccolo studio che gestisce la costruzione del sito web e il relativo dominio, la problematica si presenta trasversale.
Provvedimento del Garante del 27 novembre 2008
Il si occupa della tematica in parola definendo l’amministratore di Sistema come quella figura professionale che, in ambito informatico, compia operazioni che siano finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
A questa vengono poi equiparate le seguenti figure con profili di rischio similari:
- Amministratori di basi di dati.
- Amministratori di reti e di apparati di sicurezza
- Amministratori di sistemi software complessi.
Nella sostanza quindi la definizione della figura dell’amministratore di sistema è molto ampia ed è associata a professionisti dell’informatica con profili di rischio particolarmente elevati.
Nel concreto, però, quali sono le attività tipiche di un amministratore di sistema?
- Salvataggio dei dati (backup/recovery)
- Organizzazione dei flussi di rete
- Gestione supporti di memorizzazione
- Manutenzione hardware
Tali attività, tipiche del ruolo dell’amministratore di sistema, comportano la possibilità di agire su dati personali dovendosi così considerare a tutti gli effetti un trattamento di dati personali, anche qualora le informazioni non siano disponibili «in chiaro» le informazioni.
Nomina dell’amministratore di sistema
Il titolare del trattamento, nel designare un amministratore di sistema, dovrà valutare attentamente le caratteristiche di:
- Esperienza
- Capacità
- Affidabilità
L’AdS dovrà inoltre essere in grado di fornire idonee garanzie in merito al rispetto delle disposizioni di legge in materia di trattamento dei dati personali
La designazione dell’AdS deve essere diretta ad una singola persona fisica e contenere una puntuale elencazione degli ambiti nei quali l’AdS potrà operare, qualora le funzioni di amministratore di sistema siano affidate in outsourcing ad una realtà esterna all’organizzazione del titolare, questa dovrà essere nominata responsabile del trattamento.
Il titolare del trattamento o il responsabili del trattamento dovranno in ogni caso tenere traccia dell’identità delle persone fisiche preposte all’esecuzione materiale dei compiti di AdS.
Di conseguenza appare evidente l’importanza dell’individuazione della persona fisica che realmente svolge le attività proprie dell’amministratore di sistema.
Controllo delle attività degli amministratori di sistema e registrazione dei log di sistema
È fondamentale che, con cadenza almeno annuale il titolare o responsabile del trattamento proceda a verificare che l’attività svolta dagli AdS sia conforme alle misure tecniche, organizzative e di sicurezza previste dalla normativa ad oggi vigente, a tale scopo sarà necessario effettuare degli audit su tale attività.
Sarà inoltre necessario l’utilizzo di sistemi per la registrazione e conservazione delle autenticazioni (log di sistema), tali sistemi dovranno presentare le seguenti caratteristiche:
- completezza
- inalterabilità
- verificabilità della loro integrità.
Le registrazioni dovranno contenere almeno:
- Riferimenti temporali dell’evento che le ha generate
- Descrizione dell’evento stesso
E dovranno essere conservate per un tempo comunque non inferiore ai 6 mesi.