The Owl informs

Amministratore di Sistema

L'Amministratore di Sistema si occupa della gestione e manutenzione dei sistemi informatici e delle loro componenti, garantendo la protezione dei dati contenuti in un impianto di elaborazione.

Nell’implementazione delle misure di sicurezza, il Titolare del trattamento deve individuare e nominare per iscritto l’Amministratore di Sistema, assegnandogli dettagliatamente compiti e responsabilità. Può trattarsi di uno o più soggetti, interni o esterni all’azienda, anche con funzioni diverse e gerarchizzate.

L’Amministratore di Sistema, attenendosi alle istruzioni impartite, gestisce la rete informatica di una azienda, individuando le misure di sicurezza idonee a rendere sicura la rete e garantendone una adeguata manutenzione e aggiornamento.

Secondo quanto stabilito dal Garante della Privacy, l’Amministratore di Sistema deve occuparsi anche di attuare gran parte degli adempimenti previsti nell’Allegato B del Codice Privacy: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla organizzazione e custodia delle password, fino alla creazione dei profili di autorizzazione. Ricordiamo che chi non rispetta le prescrizioni dell’Allegato B incorre in sanzioni molto elevate, anche penali.

È importante ricordarsi che i gestori di software complessi, come i programmi gestionali di studio, gli ERP aziendali, e i data-base deve essere nominato un Amministratore di Sistema: anche questi soggetti devono rispettare tutte le prescrizioni di legge e possedere i requisiti necessari per ricoprire questo ruolo.

L’attività degli amministratori di Sistema, deve essere caratterizzata da una rilevante capacità tecnica e, ovviamente, richiede un certo grado di affidabilità specialmente sotto il profilo della riservatezza. È necessario valutare con attenzione esperienza, capacità, e affidabilità delle persone chiamate a ricoprire il ruolo di Amministratori di Sistema, i quali devono essere in grado di garantire il pieno rispetto della normativa privacy, specialmente sotto il profilo della sicurezza.


Per questo motivo è fondamentale che chi ha questa nomina, segua un corso amministratore di sistema, per adempiere agli obblighi di formazione privacy imposti al Titolare dal D.lg. 196/2003 (Codice Privacy) e dal Provvedimento del Garante Privacy Italiano del 27 Novembre 2008.
 




L’Amministratore di Sistema è tenuto a prestare particolare attenzione al rispetto della privacy per quanto concerne l’utilizzo dei dati (in particolare quelli sensibili o giudiziari) trattati nell’ambito della propria attività. Egli è tenuto a non abusare in alcun modo della propria posizione privilegiata per conseguire vantaggi personali o per svolgere attività o perseguire finalità non pertinenti con la natura e gli scopi del suo incarico. Ha inoltre l’obbligo di adottare tutti i provvedimenti e di esercitare tutte le azioni di sua competenza per evitare che altri possano violare le norme sulla privacy.

Il Titolare del trattamento, oltre a selezionare una figura professionale adeguata (culpa in eligendo), deve vigilare sull’attività svolta dall'Amministratore di Sistema (culpa in vigilando): il Codice Privacy infatti esclude la possibilità dello “scarica barile” e stabilisce delle specifiche responsabilità per il Titolare inadempiente.


Da qui l’obbligo, per il Titolare, di tracciare e verificare l’attività degli amministratori di Sistema mediante sistemi automatici (log register) e controlli periodici e anche la necessità di predisporre delle nomine scritte e di redigere un elenco dei soggetti incaricati da inserire nel Documento Programmatico di Sicurezza con indicazione specifica dei compiti assegnati, provvedendo ad una verifica periodica del rispetto delle misure organizzative, tecniche e di sicurezza previste dalla legge.


Autore: Matteo Angi - Law Compliance Advisor - Consulente EUCS 
www.eucs.it