Amministratore di sistema e privacy cosa ha detto il Garante

Nonostante sia passato oltre un decennio dall’introduzione di una specifica normativa sulla protezione dei dati personali non è chiaro a molti Imprenditori, Società e Studi professionali (o, comunque, non è da parte di essi compiutamente praticato) che l’applicazione della normativa richiamata impone, da sempre, adeguata attenzione ai profili di organizzazione. Nonostante le genericità (e, talvolta, le “manchevolezze” della normativa) è, pertanto, necessario, che, nella singola Organizzazione, il titolare di trattamento strutturi da sé la micro-organizzazione per la privacy e definisca “in proprio” i ruoli, sulla base della generica tripartizione di figure (“titolare di trattamento”, “responsabile di trattamento” ed “incaricato di trattamento”) presente nella stessa legge. In quest’ambito di problematiche organizzative s’inserisce anche il tema giuridico, organizzativo e tecnico del c.d. Amministratore di sistema. La figura in esame ha origine dal mondo dell’informatica, derivando dal termine straniero “system administrator”, espressione che, tradotta in italiano, può comprendere una varietà di figure relative ai sistemi informativi in forma elettronica. Rientrano così, nell’ambito della nozione in esame e dell’utilizzo corrente di essa, non solo buona parte delle figure genericamente individuate nelle Aziende come Amministratori di sistema, ma anche una miriade di particolari ruoli, quali, ad esempio, il responsabile sistema operativo, il responsabile operativo di produzione, il responsabile sicurezza e responsabile database.

Amministratore di sistema e disciplina sui dati personali
Nell’ambito della disciplina sulla protezione dei dati personali, il ruolo qui analizzato ha avuto alterna “fortuna”. La legge n. 675/1996 non “conosceva”, in via diretta, tale tipologia di ruolo. Solo per effetto delle integrazioni introdotte successivamente, con normative

“ausiliarie” a quel testo originario, è stata messa in evidenza la necessità di porre, per fini di sicurezza minima dei trattamenti, tale posizione organizzativa. Il vecchio ed abrogato D.P.R. n. 318/1999 (art. 1, comma 1, lett. c) ha, infatti, imposto l’Amministratore di sistema, definendolo come quel “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentire l’utilizzazione”. Il Codice del 2003 (D.Lgs. 30 giugno 2003, n. 196) ha, invece, operato una scelta di tipo diverso rispetto alla disciplina precedente. Il suo Allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) ha tralasciato quella figura, preferendo precisare, per l’organizzazione per la privacy, solo le tre generiche tipologie di soggetti (titolare, responsabile ed incaricato di trattamento). Ciò non ha determinato la scomparsa della figura dalle varie realtà di lavoro: molte Organizzazioni hanno conservato il ruolo in esame e molte altre lo hanno, successivamente, inserito nelle loro strutture e nei propri manuali di organizzazione interna, convinti (non da necessità di legge, ma da esigenze organizzative) dell’utilità di un siffatto presidio tecnico dei sistemi informativi. Parte di quelle realtà hanno preso in considerazione anche l’utilità giuridica, ai fini della normativa sulla protezione dei dati personali, dell’Amministratore, collocandolo in uno dei due livelli di struttura a cui si è accennato in precedenza (vale a dire, responsabili o incaricato di trattamento). Altre Imprese e Studi professionali specie più piccoli, pur utilizzando, di fatto, figure specializzate rientranti nell’ambito professionale qui in approfondimento, hanno, invece, evitato di ufficializzare, a fini privacy, il lavoro di tali loro collaboratori.

Il Provvedimento: profili generali
Su l’Amministratore di sistema e su determinati profili connessi alla protezione dei dati personali, interviene ora il Garante per la privacy, emanando un testo ad hoc (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, del 27 novembre 2008, G.U. n. 300 del 24 dicembre 2008) avente, secondo quanto chiarito in esso, una “duplice” essenza:

• essere documento “divulgativo” (ai sensi dell’art. 154, comma 1, lett. h, del decreto n. 196/2003), in relazione al compito gravante sull’Autorità di promuovere la “conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati”;

• essere testo prescrittivo (in virtù dell’art. 154, comma 1, lett. c, del vigente Decreto sui dati personali) data la facoltà di prescrivere misure ed accorgimenti, specifici o di carattere generale, rivolti ai titolari di trattamento. Tali specifiche prescrizioni impartite nel Provvedimento qui in esame vanno, in particolare, osservate entro e non oltre il termine di centoventi giorni dalla pubblicazione sulla G.U. (realizzatasi, come detto, il 24 dicembre 2008).

Gli scopi del documento
Considerando, più specificatamente, gli scopi del recente intervento, si può osservare che esso intende:

• richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici sulla necessità di prestare la massima attenzione su rischi e su criticità implicite nell’affidamento degli incarichi di amministratore di sistema;

• individuare delle prime misure di carattere organizzativo atte a rendere più agevole la conoscenza sugli Amministratori di sistema, in termini di esistenza dei loro ruoli, delle loro responsabilità e, in taluni casi, dell’identità dei soggetti che svolgono tale lavoro.

È, inoltre, presente nel “fondo” del documento la preoccupazione che la figura qui esaminata possa abusare del proprio ruolo, essendo in grado di accedere agevolmente e incontrollatamente ai dati personali. Egli, dice il Garante, ha “di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti”.

Di conseguenza, come sostanzialmente sostenuto nel documento qui analizzato, i titolari di trattamento devono evitare una “preoccupante sottovalutazione dei rischi derivanti dall’azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico”.

I destinatari
Il testo in esame si rivolge, in genere, ai titolari di trattamento di dati personali effettuati con strumenti elettronici, salvo quelli che siano stati oggetto delle misure di semplificazione previste di recente in relazione a trattamenti per esclusivi fini “amministrativo contabili” (su tali profili si vedano l’art. 29, D.L. 25 giugno 2008, n. 112, convertito con modifiche con la L. 6 agosto 2008, n. 133; l’art. 34 del Codice; il Provvedimento del Garante del 6 novembre 2008).

Amministratore di sistema: ruolo e rilevanza penale
Gli Amministratori di sistema presi in considerazione dall’Autorità sono sia le “ figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti” sia le “figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”. Essi, continua il Provvedimento, svolgono “attività

tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware” che “comportano, infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò anche quando l’amministratore non consulti in chiaro le informazioni medesime”. Secondo il ragionamento presente nel documento in analisi, il nuovo Codice implica, attraverso determinati obblighi, tale figura. Il vigente testo prevede, infatti, “l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione”. In effetti si può aggiungere che molta parte degli obblighi previsti nel medesimo Allegato B rappresentano compiti caratteristici dell’Amministratore di sistema così come presente in molte Aziende: così, ad esempio, la realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) e la custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. Il Provvedimento sottolinea, poi, che una sua posizione organizzativa in termini di responsabile di trattamento è facoltativa, come previsto dalle regole generali (art. 29, comma 1 (1), del Codice). Il documento evidenzia altresì la rilevanza penale di certe condotte del ruolo in esame, potendo (secondo l’interpretazione del Garante) incorrere, qualora abusi della qualità di operatore del sistema, in reati quali, ad esempio, l’accesso abusivo a sistema informatico telematico (art. 615-ter), la frode informatica (art. 640-ter), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis e -ter) e il danneggiamento di sistemi informatici telematici (art. 635-quater e -quinquies). Il documento non si sofferma affatto, invece, sulle eventuali responsabilità derivanti, direttamente, dal Codice sui dati personali.

Le singole prescrizioni sui titolari
Valutazione delle caratteristiche soggettive
In relazione al soggetto qui in esame un primo fondamentale obbligo posto dal Garante a carico del titolare di trattamento è che l’Amministratore di sistema vada, innanzitutto, ben scelto. Più in specifico, il documento in esame evidenzia che prima di attribuire le funzioni proprie di quella figura ad una determinata persona occorre verificare che essa possieda “esperienza, “capacità” e “affidabilità” in modo tale che egli sia in grado di “fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”. La formula utilizzata, peraltro, è la stessa prevista dall’articolo 29, comma 2, del D.Lgs. n. 196/2003 a proposito dell’attribuzione, in genere, del ruolo di responsabile di trattamento. Il Garante non chiarisce (come d’altronde il Codice) profili specifici di tali “qualità”. Un’interpretazione di massima di tali termini fa qui ritenere che il potenziale Amministratore di sistema debba:

• avere un curriculum professionale congruo in rapporto, evidentemente, alla complessità del sistema informativo e, in primis, alla natura e importanza, dal punto di vista della privacy, dei dati trattati. Così, ad esempio, un’impresa o uno Studio che tratti, in grande quantità, dati sensibili (magari sanitari) e/o giudiziari esige una figura professionale di elevata esperienza;

• possedere “capacità” adeguate, intendendo per tali competenze rapportate al previsto ambito di svolgimento delle sue attività. Così, per fare qualche esempio, la figura a cui attribuire il ruolo deve possedere, tra l’altro, una notevole capacità di analisi e adeguate competenze relative ai sistemi di sicurezza sufficienti a metterlo in grado di gestire gli obblighi, in materia di sistemi elettronici, derivanti dalla legge o da Provvedimenti del Garante;

• essere affidabile. Tale ulteriore categoria di valutazione sembra essere, da un lato, ripetitiva e sintetica rispetto alle precedenti, essendo l’affidabilità, in qualche modo, sintesi della rispondenza (derivante da curriculum e da competenze possedute) di un soggetto rispetto alle incombenze da svolgere e ai fini da perseguire. In senso più lato si potrebbe comprendere nell’“affidabilità” una serie di qualità personali aventi “un peso” ai fini dello specifico ruolo, quali ad esempio, eticità di condotte lavorative, attenzione e serietà di comportamenti lavorativi.

Al di là dei profili specifici di contenuto è da sottolineare ai titolari trattamento che tale valutazione preliminare all’attribuzione di ruolo va svolta (per come ora imposto dal Garante) anche qualora si intenda attribuire all’Amministratore di sistema una qualifica, a fini di privacy, di “incaricato di trattamento”(2).

Designazioni individuali
Ulteriore prescrizione riguarda la natura individuale dell’attribuzione del ruolo qui analizzato. In sede di commento si può qui dire che ciò è da intendere, ai limitati fini della privacy e con effetti giu ridici ad essa attinenti, nel senso che si debba individuare come Amministratore di sistema solo una persona fisica.

Considerando le numerose prassi in atto in cui molte Imprese e Studi professionali agiscono, per la supervisione e per la manutenzione del loro sistema informativo, affidandosi a Società esterne, è necessario che i titolari di trattamento svolgano un’individuazione, all’interno delle realtà organizzative che forniscono i predetti servizi, del soggetto (o, nei casi complessi, dei soggetti) che assume formalmente il ruolo in esame. La designazione deve anche precisare, come chiarisce il documento, in modo analitico “gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato”.

Verifica delle attività
Il Garante pone, poi, degli ulteriori obblighi, da valutare alquanto impegnativi per la maggior parte delle Imprese e degli Studi professionali. Una prima attiene all’obbligo di effettuare, con cadenza almeno annuale, un’“attività di verifica” nei confronti del soggetto-Amministratore di sistema atta a “controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti”. Tale prescrizione non risulta, obiettivamente, di facile applicazione: come può un’Impresa o uno Studio professionale mettere in atto un controllo di tale complessità? Evidentemente l’unica soluzione è quella di affidare all’esterno e ad ulteriori soggetti i profili più strettamente tecnici della verifica annuale.

Registrazione degli accessi
Analoga difficoltà per Imprese e Studi professionale si rinviene nel dover garantire una seria applicazione di quanto richiesto dal Garante a proposito degli accessi logici dell’Amministratore di sistema. Su tale tematica l’Autorità impone che si attuino “sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)” degli amministratori di sistema rispetto “a sistemi di elaborazione e agli archivi elettronici”.

Il sistema, come chiarito dal Garante, deve garantire “registrazioni (access log)” aventi “caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste”. Tale meccanismo deve consentire di archiviare “i riferimenti temporali” e contenere “la descrizione dell’evento che le ha generate”, mentre le registrazioni stesse “devono essere conservate per almeno sei mesi”. Anche su questo profilo di natura strettamente specialistica e tecnica valgono le considerazioni, in precedenza espresse, a proposito del controllo delle attività dell’Amministratore di sistema: non è, evidentemente, possibile che la stessa Organizzazione (Impresa o Studio Professionale) possa effettivamente porre e utilizzare un tale sistema di registrazione. Solo risorse professionali esterne, anche in questo caso diverse dall’Amministratore di Sistema, sono in grado di progettare, di utilizzare e di “manutenere” un tale sistema di registrazione.

Elenco degli amministratori di sistema
La Società o il singolo Professionista, titolare del trattamento della specifica realtà organizzativa, debbono, inoltre, curare alcuni profili di carattere formale. In tal senso, secondo il Provvedimento in esame, essi devono formalizzare, in uno dei documenti di cui si dirà, gli estremi identificativi delle persone fisiche che siano Amministratori di sistema, precisando, altresì, l’elenco delle funzioni ad essi attribuite.

Quali i documenti interni utilizzabile a questo fine?

Il primo e più idoneo è, secondo il Garante, il

Documento programmatico sulla sicurezza (DPS). Nei casi in cui il titolare non sia tenuto a redigerlo, quelle informazioni andranno annotate in un altro documento interno, da individuare in assoluta discrezionalità da parte del singolo titolare (ma che, evidentemente, sia rispondente allo scopo di documentazione ufficiale dell’adempimento in esame) da mantenere aggiornato e disponibile in caso di accertamenti anche svolti dall’Autorità sui dati personali. Un’ulteriore prescrizione è connessa al trattamento di informazioni di carattere personale di lavoratori qualora, evidentemente, sia presente una figura di Amministratore di sistema. In tale ipotesi i titolari privati sono tenuti a rendere nota o conoscibile, nell’ambito delle proprie Organizzazioni, l’identità degli Amministratori ai lavoratori-interessati.

La modalità concreta è, in qualche misura, lasciata alla singola realtà organizzativa. Lo strumento consigliabile è quello dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro. Un ulteriore ausilio, funzionale allo scopo, può essere il disciplinare interno la cui adozione a fini di trasparenza dei controlli lavorativi sui lavoratori è prevista dal Provvedimento del Garante n. 13/2007.

L’Autorità, comunque, apre alla possibilità di impiegare anche altri “tool” quali ad esempio, l’intranet aziendale o ordini di servizio a circolazione interna. Ulteriore profilo formale di prescrizione, peraltro alquanto superflua, alla luce dell’elenco di cui si è detto prima, è che nell’ipotesi “di servizi di amministrazione di sistema affidati in outsourcing , il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema”.

Quale ruolo?
Il documento qui analizzato non chiarisce, però, quali debbano essere i contenuti di ruolo dell’Amministratore di sistema. Alcuni profili di contenuto, dice il Garante, si ricavano dallo stesso Disciplinare tecnico. Egli (come accennato in precedenza) elenca alcuni di tali micro-obblighi:

• l’assicurare la custodia delle componenti riservate delle credenziali di autenticazione;

• il realizzare copie di sicurezza (operazioni di backup e recovery dei dati);

• il custodire le credenziali

• il gestire i sistemi di autenticazione e di autorizzazione.

Non procede oltre e ciò, probabilmente, viene fatto per evitare di “ingabbiare” la variegata realtà organizzativa.

In sede di commento è utile cercare di dare organicità al ruolo, evidenziando un possibile “nucleo” di contenuti dell’Amministratore di sistema.

In tal senso egli potrebbe essere chiamato a:

• una supervisione, dal punto di vista tecnico-informatico, nella gestione dei sistemi di autenticazione di autorizzazione;

• una gestione degli aspetti tecnico- informatici non attribuiti ai singoli utenti del sistema (ad esempio, realizzazione di copie di sicurezza per garantire l’intergità del sistema informativo nel suo complesso);

• un’assistenza, sempre dal punto di vista tecnico informatico, del titolare di trattamento e dei responsabili di trattamento, specie in relazione all’applicazione delle misure minime di sicurezza e delle ulteriori misure idonee preventive di cui all’art. 31 del D.Lgs. n. 196/2003;

• un supporto, dal punto di vista informatico, al titolare del trattamento nel controllo del corretto utilizzo di internet, di posta elettronica e degli altri strumenti elettronici utilizzati per fini lavorativi da parte dei lavoratori, nel rispetto di quanto previsto dalla normativa vigente e dell’eventuale Disciplinare interno emanato.

Tali profili di ruolo vanno, ovviamente, da un lato, modulati e, dall’altro, integrati in relazione alla specifica realtà di sistema informativo e, per quanto riguarda la privacy, al particolare trattamento di dati personali. Analoghe considerazioni si possono fare relativamente alla posizione da dare nell’ambito dell’organizzazione per la privacy: Responsabile di trattamento o incaricato di trattamento? In realtà, una possibile attribuzione all’Amministratore di sistema della qualifica di incaricato sembra alquanto “debole” sul piano della privacy: tale ultimo ruolo (come si desume, interpretando l’art. 30 del Codice) risulta essere, essenzialmente, operativo ed esecutivo e, quindi, poco idoneo a configurare oggettivamente, almeno nella maggior parte dei casi, il “system administrator” avente un importantissimo ruolo tecnico e un inevitabile “spazio di libertà”.

Quali responsabilità?
Il Garante, come detto prima, segnala alcuni dei reati di carattere generale in cui può incorrere l’Amministratore di sistema.

Curiosamente non segnala invece eventuali fattispecie di reato o di violazione amministrativa previste dal D.Lgs. n. 196/2003 che possono essere commessi dalla figura qui in esame.

Non è possibile in questa sede operare una ricognizione integrale di tali infrazioni. Due considerazioni vanno però fatte, una attiene a un livello interpretativo generale, mentre un’altra riguarda il principale ambito di

responsabilità dell’Amministratore.

Sul primo profilo si può dire che, in linea generale, le potenzialità di responsabilità dipendono, in gran parte, dal tipo di ruolo (molto articolato e complesso o piuttosto ridotto) datogli, in materia di privacy, dal titolare di

trattamento.

In relazione al crescere dell’ampiezza di ruolo affidato crescono, inevitabilmente, gli spazi di autonomia e di libertà delle sue condotte e, conseguentemente, le possibili responsabilità giuridiche dell’Amministratore. Esse, peraltro, non escludono, evidentemente, secondo le regole generali, una responsabilità “in eligendo” (scelta) o “in vigilando” del titolare di trattamento. Venendo al secondo profilo si può ritenere che la principale infrazione di carattere penale in cui può “cadere” l’Amministratore di sistema è, in presenza dei profili descritti nella specifica norma tra i quali il fine di trarne profitto, quella di cui all’art. 167 del Codice (3): il trattamento illecito di dati.

Da non escludere, inoltre, i potenziali “pericoli giuridici” derivanti dall’art. 169 (4) in materia di misure minime di sicurezza e dall’art. 162, comma 2-bis. Il loro “combinato disposto” prevede che la mancata adozione delle misure di sicurezza possa comportare una sanzione penale e una sanzione amministrativa:

pur essendo un reato tendenzialmente destinato al titolare di trattamento, non è da escludere che egli possa, mediante delega, trasferire importanti funzioni in materia di misure minime di sicurezza all’Amministratore con conseguenze anche ai fini della responsabilità penale.

(1) La formula utilizzata dal Codice è, infatti, “Il responsabile è designato dal titolare facoltativamente”.

(2) Art. 4, comma 1, lett. h, del Codice: “Le persone fisiche autorizzate a compiere operazioni di trattamento del titolare o dal responsabile” o ancora art. 30, comma 1: “Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite”.

(3) Il testo di tale articolo, comma 1, dispone che “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profili o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a 24 mesi” (…).

(4) Il primo comma prevede che “1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni”.

(per maggiori approfondimenti vedi Novecentolavoro, Novecento media)