L’amministratore di sistema negli studi professionali: nomina ed adempimenti Privacy
di Stefano Bacchiocchi*
In un mondo sempre più votato all’informatica ed alla digitalizzazione dei sistemi e dei processi, il c.d. amministratore di sistema ha un ruolo di vitale importanza nell’organizzazione dei nostri studi professionali.
L’amministratore di sistema è una figura con specifiche competenze su hardware e software, soprattutto per quanto riguarda le caratteristiche delle architetture informatiche, dei gestionali d’impresa e delle reti di comunicazione.
Nel mondo informatizzato ormai anche questa figura si è evoluta dal tipico “tecnico del computer”, ed è normale oggi che negli studi ci siano interlocutori diversi: chi gestisce la rete, chi i computer, chi le stampanti, chi i telefoni, chi il gestionale di studio, chi le piattaforme online, ecc.
Oltre a ciò, queste figure, spesso, si occupano della gestione informatica a tutto tondo: architettano sistemi di backup e attività di disaster recovery, organizzano la gestione dei dati informatici, sorvegliano il buon andamento dei flussi documentali, ecc.
L’amministratore di sistema, ovviamente, tratta dati personali di persone fisiche, quindi, a tutti gli effetti, è sottoposto alla normativa sulla privacy e a ciò che riguarda la conservazione e sicurezza dei dati (ricordo, a tal proposito, che per trattamento di dati si intende anche solo la mera visione o conservazione degli stessi).
Come si può ben comprendere, questa figura può “giocare” un ruolo fondamentale nella progettazione e nell’innovazione dei processi organizzativi anche a riguardo dei principi di privacy by design e privacy by default previsti dal nuovo regolamento europeo sulla privacy (GDPR).
A questo proposito, credo sia di fondamentale importanza affrontare il tema della nomina dell’amministratore di sistema in modo da fornire ai colleghi un punto fermo sul quale basarsi per effettuare l’adeguamento al GDPR e normativa correlata.
Già nell’ormai lontano (in senso informatico) 2008 il Garante privacy definì l’amministratore di sistema come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.
Nonostante la notevole importanza di questa figura (quando si deve implementare o revisionare il “sistema privacy” è infatti uno dei principali interlocutori), curiosamente nel nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) e nella normativa collegata non esiste un riferimento esplicito. Si capisce però quanto sia necessario formalizzare la nomina di questa figura quando si legge l’art. 32 del GDPR in cui si descrivono alcune procedure strettamente informatiche che difficilmente noi professionisti possiamo definire e padroneggiare in autonomia (ad esempio: la cifratura dei dati o il ripristino in caso di problemi tecnici) anche per semplice mancanza di competenze o di tempo.
L’art. 32, par. 1, prevede espressamente che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”.
È facile considerare che si tratta di prestazioni tecniche di grado qualificato e che l’amministratore di sistema non potrà mai coincidere con il responsabile della protezione dei dati (c.d. DPO, che invece svolge autonome attività di audit nell’ambito della sicurezza informatica e che, quindi, è dotato di autonomia e indipendenza).
È dunque possibile che l’amministratore di sistema sia interno o esterno all’azienda o allo studio professionale; tuttavia, come nel caso dei Data Protection Officer o, in generale, di chiunque ricopra il ruolo di responsabile del trattamento dei dati, anche gli amministratori di sistema devono essere valutati riguardo all’esperienza ed alle competenze specifiche.
Possiamo dire che la nomina quale amministratore di sistema è una qualifica ulteriore rispetto al “semplice” responsabile del trattamento (si veda l’articolo dedicato su questa stessa rivista http://www.gruppoarealavoro.it/lavoro-e-previdenza/la- nuova-normativa-privacy-le-differenze-tra- responsabile-e-contitolare-del-trattamento/). Quindi, se nel nostro studio abbiamo designato un fornitore esterno che ottempera ai compiti indicati nella definizione del garante, questo sarà nominato responsabile del trattamento ed anche amministratore di sistema. Se invece l’amministratore del sistema è interno all’organizzazione dello studio (es. un dipendente, tipicamente il responsabile IT) sarà da nominare quale amministratore di sistema e come incaricato/autorizzato al trattamento dei dati (anche in questo caso, per approfondire questa figura si veda l’articolo http://www.gruppoarealavoro.it/lavoro-e- previdenza/autorizzati-al-trattamento-dei- dati-personali/).
A questo punto è normale chiedersi se per il titolare del trattamento designare l’amministratore di sistema sia un obbligo: in base al principio dell’accountability il titolare deve predisporre adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate ottemperando alla normativa privacy. Quindi si può dire che senza la nomina dell’amministratore di
sistema il titolare (in caso di controllo e/o di contestazioni) difficilmente potrà difendersi senza mostrare l’atto di nomina (scritto) e senza descrivere le procedure informatiche ed organizzative adottate.
Inoltre, poiché è normale per i nostri studi trattare dati di terzi, anche particolari (ex sensibili) e giudiziari, ritengo sia necessario delegare quanto più possibile queste tipologie di mansioni a responsabili altamente qualificati e quindi è auspicabile la nomina di questa figura al pari della nomina di un DPO specializzato.
Quanto ai risvolti tipicamente giuslavoristici, è opportuno chiarire che quando l’attività dell’amministratore di sistema riguardi il trattamento di informazioni di carattere personale di lavoratori, il datore di lavoro deve rendere conoscibile l’identità degli amministratori di sistema avvalendosi dell’informativa resa agli interessati nell’ambito del rapporto di lavoro o, in alternativa, mediante altri strumenti di comunicazione interna e procedure formalizzate a istanza del lavoratore.
Alla luce di quanto detto, si può quindi affermare che la funzione deve essere affidata solo a soggetti dotati di adeguata esperienza ed affidabilità: per questo motivo è necessario chiedere referenze, curriculum, certificazioni, attestati ecc.; infatti l’amministratore di sistema che abbia maturato esperienza in ambito industriale potrebbe non avere competenze adeguate per gestire uno studio professionale; è comunque sempre il titolare del trattamento che ha la responsabilità dell’adeguata gestione e protezione del dato personale.
Inoltre l’operato, le capacità e l’aggiornamento saranno oggetto di costante controllo (si consiglia la cadenza almeno annuale) da parte del titolare, al fine del mantenimento delle caratteristiche idonee alla funzione.
*Odcec Brescia
