1. Chi è l’Amministratore di Sistema?
Volendo offrire una prima e più generale definizione di “Amministratore di sistema”, che tenga conto delle funzioni che – solitamente – risultano attribuite a questo soggetto, si potrebbe affermare che detto tipo di figura professionale vada identificata con quella di un tecnico con competenze specialistiche nel settore delle cosiddette Information and comunication technologies (ICT), che combina in sé competenze approfondite sia in ambito software che in ambito hardware ed al quale vengono assegnati – nell’ambito di un’organizzazione di tipo complesso come un ente pubblico od un’impresa che si avvale di sistemi ed infrastrutture IT di una certa entità e complessità – compiti di controllo, gestione e manutenzione di quelli che sono i sistemi informatici di cui l’organizzazione risulta dotata, ivi comprese le risorse informatiche deputate alla conservazione e condivisione dei dati all’interno di quel medesimo contesto aziendale/istituzionale, quelle dirette a consentire un eventuale scambio comunicativo da e verso l’esterno, nonché tutti i meccanismi tecnologici impiegati dalla struttura al cui interno opera detta figura professionale e che sono volti ad assicurare la sicurezza logica e/o fisica dell’organizzazione stessa (si pensi, ad esempio, per quanto riguarda i sistemi di sicurezza logica, alla gestione delle credenziali di accesso alle risorse informatiche utilizzare dall’azienda/ente, ovvero ai firewall; mentre, per quel che concerne la sicurezza fisica, l’esempio potrebbe essere quello delle bussole e dei badge installati al fine di controllare gli accessi del personale e/o di terzi alla relativa sede, dei sistemi di videosorveglianza, ecc.).
In concreto, le attività per le quali un’organizzazione strutturata necessita di siffatto tipo di figura professionale sono dunque le seguenti: a) l’installazione dei sistemi IT annoverabili tra gli asset di supporto della struttura organizzativa che ha conferito incarico all’amministratore di sistema[1], nonché la loro configurazione funzionale ad assicurarne il corretto funzionamento; b) il monitoraggio degli stessi asset sopra citati, al fine di assicurare che detti sistemi continuino a funzionare come pianificato, nonché allo scopo di poter tempestivamente individuare segnali di un eventuale guasto, errore, attacco perpetrato da parte di terzi malintenzionati; c) l’esecuzione di aggiornamenti con riferimento alle componenti sia hardware che software dei sistemi predetti; d) l’esecuzione di operazioni riparative rispetto ad eventuali malfunzionamenti e/o – comunque – la tempestiva attivazione del processo di incident response necessario ad identificare compiutamente l’evento critico occorso, elaborare una specifica strategia di contenimento ed attuare adeguate azioni di rimozione, remediation e ripristino volte ad assicurare una corretta gestione dell’incidente di sicurezza.
Già da questa prima descrizione si può quindi facilmente intuire la delicatezza del ruolo che l’amministratore di sistema è chiamato a svolgere nell’ambito della struttura organizzativa che lo ha ingaggiato: il controllo sulle risorse informatiche che l’organizzazione utilizza al fine di portare avanti la propria attività principale, infatti, rende questa figura il più temibile dei potenziali attaccanti (laddove l’ADS intendesse portare avanti azioni dolose ai danni dell’impresa o dell’ente ove risulta essere chiamato a svolgere le proprie funzioni); inoltre, anche non considerando potenziali comportamenti infedeli dell’ADS-persona fisica, a fronte del dominio che l’amministratore di sistema di fatto esercita con riferimento alle risorse IT dell’organizzazione, eventuali errori involontari che questi può comunque essere portato a commettere – rimanendo pur sempre un essere umano – avrebbero comunque impatti significativi sull’impresa (o ente pubblico) in questione.
Chiarito (a grandissime linee) quali sarebbero le funzioni dell’ADS all’interno dei contesti organizzativi che hanno optato per farvi ricorso (necessariamente o volontariamente), rimane da capire quale potrebbe essere l’inquadramento giuridico proprio di questa figura; e ciò, soprattutto ai fini della normativa relativa alla protezione dei dati personali, considerato che i contesti organizzativi che maggiormente fanno ricorso ad amministratori di sistema sono realtà in cui la componente strumentale di tipo IT è predominante e che compiono trattamenti di dati personali (sia relativi al personale interno, sia di soggetti esterni) attraverso dette risorse.
2. Inquadramento dell’ADS ai fini data protection
Se si volesse ricercare una nozione formale, giuridica, di “Amministratore di sistema”, guardando al contesto normativo attuale legato al settore della data protection (Reg. UE 2016/679[2] e D.Lgs. n. 196/2003), non la troveremmo. Invero, a cavallo tra il secondo ed il terzo millennio era esistita, all’interno del nostro ordinamento giuridico nazionale, una nozione di ADS formalmente incastonata all’interno di un testo normativo, ossia il D.P.R. 28 luglio 1999, n. 318, che conteneva il “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge 31 dicembre 1996, n. 675”; atto oggi non più in vigore.
Ebbene, l’art. 1 comma 1-lett. c) del regolamento qui appena menzionato forniva la seguente definizione di “Amministratore di sistema”: «i[l] soggett[o] cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione».
Rispetto alla definizione or ora riportata, la prima cosa che cattura l’attenzione è la scelta del verbo “sovrintendere” per discriminare l’attività compiuta da parte dell’ADS rispetto a quella demandata a qualunque altro soggetto legittimato ad utilizzare le risorse informatiche della struttura organizzativa del titolare del trattamento. Il vocabolario on-line di Treccani riporta infatti, per descrivere il significato da attribuire alla voce “Soprintendere”, la seguente definizione: «Avere funzioni di direzione, di controllo e vigilanza […]»[3]. La figura dell’ADS veniva dunque identificata con quella di un tecnico con compiti legati alla gestione (in senso ampio) dei principali sistemi IT dell’organizzazione, dovendone infatti curare sia la possibilità di utilizzazione da parte degli altri utenti incaricati del trattamento dei dati personali, sia il relativo monitoraggio e controllo. Una definizione molto ampia e generale, il cui unico limite – volendola osservare attentamente, con uno sguardo un po’ più attuale – si potrebbe affermare essere legato al tipo di risorse che il regolamento del 1999, figlio dell’epoca in cui era stato emanato, individuava come perimetro dell’attività ricompresa nell’ambito operativo della figura dell’amministratore di sistema: le risorse del sistema operativo degli elaboratori dell’organizzazione del titolare del trattamento, ovvero dei sistemi di base dati.
Già con l’avvento del Codice della privacy del 2003, nella sua versione originaria, ossia prima della novella operata con D.Lgs. n. 101/2018, la definizione formale di amministratore di sistema succitata era venuta meno all’interno del nostro ordinamento giuridico. Tuttavia, con il proprio provvedimento del 27 novembre 2008, recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, (doc. web n. 1577499, successivamente modificato in seguito all’emanazione del provvedimento del 25 giugno 2009, doc. web n. 1626595) [4], il Garante per la protezione dei dati recupera ed estende la nozione di “Amministratore di sistema” di cui al D.P.R. n. 318/1999, fornendo così una definizione completa ed aggiornata di questa particolare figura professionale.
Così, sia nella premessa che nelle relative FAQ riportate a tergo del provvedimento qui da ultimo citato, si legge che per “Amministratore di sistema”, con riferimento agli adempimenti che interessano il settore della data protection, deve intendersi quella «figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. […] Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software». Detta definizione ricomprende dunque ben cinque figure specifiche di ADS, ossia gli amministratori di sistema “senso stretto”, gli amministratori di banche dati, gli amministratori di rete, gli amministratori di sicurezza e gli amministratori di sistemi software complessi; figure accumunate tutte, come espressamente riconosciuto dallo stesso Garante privacy, sotto il profilo del rischio dal punto di vista della protezione dei dati personali. Il succitato provvedimento del novembre 2008, in proposito, specifica infatti che: «Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime».
Stando alla nozione fornita dal Garante per la protezione dei dati, oltre al profilo relativo al tipo di attività che concretamente dev’essere svolta da parte di siffatta figura soggettiva (la quale deve identificarsi – come già accennato in precedenza – in un’attività di gestione, nel soprintendere agli strumenti IT della struttura organizzativa in questione), gli altri elementi che risultano essere essenziali per poter definire compiutamente la figura dell’amministratore di sistema, ai fini della normativa sul trattamento dei dati personali, sono quindi i seguenti due:
- l’abitualità nell’interazione con i sistemi e gli apparati utilizzati dall’organizzazione ove è chiamato ad operare l’ADS;
- che i sistemi, meccanismi ed apparati rispetto ai quali l’ADS risulta essere abilitato ad operare siano funzionali all’attività di trattamento di dati personali portata avanti dall’organizzazione.
Al ricorrere di ambedue queste condizioni, pertanto, il soggetto che materialmente svolge taluna delle funzioni richiamate all’inizio di questa nostra analisi dovrà essere formalmente considerato “Amministratore di sistema”, divenendo dunque doverosa l’applicazione di tutte quelle misure prescrittive che, con riferimento a questa particolare figura, si trovano contenute nel succitato provvedimento del Garante per la protezione dei dati personali del 27/11/2008 (le quali, a loro volta, non sono altro che il precipitato pratico di quegli stessi principi generali di integrità e riservatezza dei dati personali e di responsabilizzazione che si trovano oggi contenuti – rispettivamente – negli artt. 5 § 1 lett. f) e 32 RGPD, per quanto riguarda il principio di integrità e riservatezza, e negli artt. 5 § 2 e 24 RGPD, per il principio di responsabilizzazione rivolto al titolare del trattamento).
Essendo dunque riusciti a ricavare una definizione formale (ancorché non contenuta in norme giuridiche) utile a comprendere chi, tra le figure che operano con i sistemi IT di una qualsivoglia organizzazione che compie attività di trattamento dati, è da considerare ADS e chi no, non resta che andare ad indagare quale inquadramento giuridico deve essere dato a siffatta categoria di tecnici specializzati.
Prima di poter procedere con la nostra indagine, si deve anzitutto premettere che, così come chiaramente ribadito dallo stesso Garante per la protezione dei dati personali nel proprio provvedimento del 27/11/2008, le operazioni che concretamente vengono poste in essere da coloro che ricoprono funzioni di ADS, si pensi – ad esempio – al «salvataggio dei dati (backup/recovery), [alla] organizzazione dei flussi di rete, [alla] gestione dei supporti di memorizzazione e [alla] manutenzione hardware», «comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime»[5]. Non debbono dunque residuare dubbi al riguardo: l’attività di un ADS integra, a tutti gli effetti, un trattamento di dati personali, poiché trattasi di operazioni che rientrano a pieno titolo nel novero di attività che si trova contenuto all’interno della disposizione dell’art. 4 n. 2 RGPD[6].
Ciò premesso e volendo procedere ad individuare l’opportuno inquadramento da dare, dal punto di vista giuridico, alla figura dell’ADS, si deve quindi partire da una preliminare distinzione concettuale. Ovverosia, si deve tenere a mente che, nei rapporti con l’organizzazione che gli conferisce incarico, l’amministratore di sistema può assumere una duplice posizione: a) la posizione di ADS interno, quando il soggetto che materialmente va a ricoprire questo ruolo fa parte del personale della stessa struttura organizzativa presso la quale detto soggetto è chiamato a svolgere l’attività di amministratore di sistema; b) la posizione di ADS esterno, quando le funzioni di amministratore di sistema vengono delegate ad un fornitore esterno del titolare del trattamento, il quale – a sua volta – potrà essere sia una persona fisica che giuridica.
Ciò premesso, si può a questo punto procedere andando ad individuare quelle norme che consentono di inquadrare nella maniera opportuna anzitutto la posizione dell’ADS interno. Ai fini di questa indagine ricognitiva, la prima disposizione che viene in gioco, stante l’assenza – è doveroso ribadirlo – di una definizione esplicita di “Amministratore di sistema” sia all’interno del Regolamento generale europeo sulla protezione dei dati, sia dell’attuale Codice privacy, è l’art. 4 n. 10 RGPD. Detta norma, che in realtà è stata partorita dal legislatore eurounitario al fine di definire una differente figura che si inserisce all’interno dei rapporti privacy (ossia, colui che acquisisce il nome di “Terzo”), fornisce la prova che il Regolamento europeo del 2016 non avrebbe contemplato al suo interno, dal lato dei “soggetti attivi del trattamento dei dati personali”, solo e soltanto le figure del “Titolare del trattamento” e del “Responsabile del trattamento”, ma anche una terza figura: quella della “Persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
Detta figura viene poi richiamata anche all’interno della disposizione dell’art. 29 RGPD, che difatti recita: «Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».
La conferma definitiva della riconducibilità del ruolo dell’ADS interno alla struttura organizzativa del titolare alla figura privacy della “Persona autorizzata al trattamento” ci viene fornita, ad ogni modo, dall’art. 2-quaterdecies del D.Lgs. n. 196/2003; e cioè dal nostro Codice privacy, nel testo attualmente vigente. La disposizione appena citata, infatti, strutturata in due commi, risulta intitolata proprio “Attribuzione di funzioni e compiti a soggetti designati” e riporta un testo che non lascia margine di dubbio alcuno circa la possibilità che, all’interno delle strutture organizzative dei due principali soggetti attivi del trattamento, vi siano altre figure “formali” coinvolte nell’attività complessiva di trattamento dei dati personali eseguita – a seconda dei casi – dal titolare o dal responsabile del trattamento.
Si legge così, infatti, nel testo dell’art. 2-quaterdecies c. privacy: «Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità» (co. 1); «Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta» (co. 2).
Addirittura, la norma qui da ultimo richiamata offrirebbe spazio per una ulteriore scissione tra le figure privacy che rientrano nel concetto di “Autorizzato al trattamento”: da una parte, difatti, e per la precisione nel comma primo dell’art. 2-quaterdecies, verrebbe infatti evocata la figura del “Soggetto designato per specifici compiti e funzioni”, rispetto alla quale viene richiesta una maggiore solennità nell’attribuzione dell’incarico (vi deve essere una espressa designazione, con indicazione dei compiti e funzioni delegate al soggetto interno, che – per l’appunto – debbono essere specifici e dunque opportunamente inquadrati e resi manifesti nell’atto formale in questione), a fronte di una – parrebbe, stando alla formulazione letterale della norma – maggiore libertà di manovra concessa a detta figura soggettiva subordinata al soggetto attivo del trattamento dati (il comma 1 della disposizione in parola fa riferimento al fatto che il soggetto designato opera «sotto la […] autorità» generica del titolare o del responsabile del trattamento, mentre nel comma 2 viene invece fatto riferimento ad un vincolo di tipo più stretto, ossia la «autorità diretta»); dall’altra parte, ossia nel capoverso dell’articolo del Codice privacy qui citato, verrebbe richiamato un diverso flavour di “Soggetto autorizzato al trattamento” per come definito dal GDPR, ovverosia la persona a cui sarebbe stato meramente permesso, da parte del soggetto attivo del trattamento, di trattare i dati personali in quanto risorsa della propria struttura organizzativa (la norma prevede una maggiore libertà nel conferimento di questo tipo di autorizzazione, «[i]l titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati», a fronte, però, di un più ristretto margine operativo, in quanto – come anticipato immediatamente sopra – l’autorità esercitata dal soggetto attivo del trattamento viene definita come “autorità diretta”).
L’inquadramento quale “Soggetto designato per specifici compiti e funzioni” (ex art. 2-quaterdecie c. privacy) si attaglia dunque perfettamente alla figura dell’ADS interno, considerata anche la particolarità e delicatezza della posizione ricoperta, nonché l’ineliminabile maggior margine di autonomia che il ruolo richiede essendogli demandata la gestione delle risorse IT e l’implementazione delle misure tecniche necessarie a garantire la sicurezza del trattamento portato avanti dalla struttura organizzativa del titolare del trattamento.
Per quanto riguarda la figura dell’ADS esterno, invece, la disposizione che viene gioco è l’art. 28 RGPD, dovendosi difatti ricondurre il servizio che il fornitore andrebbe ad offrire all’ipotesi del trattamento di dati personali effettuato da un soggetto esterno per contro del titolare del trattamento (l’attività di ADS, come anche ci ricorda il succitato provvedimento del 2008 del Garante privacy, si identifica in operazioni che ben possono essere ricondotte al concetto di “trattamento di dati personali”; art. 4 n. 2 RGPD). Siamo dunque al cospetto di un “Responsabile del trattamento” – persona fisica o giuridica – con funzioni di amministratore di sistema.
In quanto responsabile del trattamento, l’ADS esterno dovrà dunque essere vincolato al titolare del trattamento attraverso un atto formale ben preciso: un contratto, ovvero un altro atto giuridico ai sensi del diritto UE o nazionale (art. 28 § 3 RGPD), il quale dovrà inoltre avere un contenuto minimo obbligatorio per legge[7].
Prima di passare ad analizzare in maniera più dettagliata il già menzionato provvedimento del Garante per la protezione dei dati personali, è opportuno chiudere il quadro delle disposizioni del Regolamento generale europeo utili a fornire un compiuto inquadramento della figura dell’amministratore di sistema soffermandoci anche sulla disposizione dell’art. 32 RGPD. Detta norma, rubricata “Sicurezza del trattamento”, al proprio primo paragrafo stabilisce infatti che: «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:/ a) la pseudonimizzazione e la cifratura dei dati personali;/ b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;/ c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;/ d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento».
Orbene, leggendo attentamente il testo dell’articolo in parola, si comprende come la decisione di ricorrere alla figura dell’ADS possa anche essere considerata un elemento di responsabilizzazione del titolare del trattamento (art. 5 § 2 GDPR), il quale, dovendo garantire un adeguato livello di sicurezza della propria attività di trattamento dati, formalizza la presenza – ovvero l’intervento, in caso di fornitore esterno – di un tecnico altamente specializzato (misura organizzativa) deputato all’attuazione concreta di quelle che sono le misure tecniche funzionali a garantire il rispetto del principio generale di integrità e riservatezza dei dati fissato dal Regolamento europeo al combinato disposto degli artt. 5 § 1-lett. f) e 32.
3. Il provvedimento del Garante sugli Amministratori di sistema del 27 novembre 2008 e la sua applicazione nel contesto attuale
Passando finalmente all’analisi del provvedimento del Garante “sugli Amministratori di sistema”, va innanzitutto chiarito che detto provvedimento, pur risalendo al periodo 2008-2009, mantiene ancor oggi la sua efficacia nell’orientare le scelte del titolare del trattamento, nonché prescrittiva. Il provvedimento, difatti, ha superato la cosiddetta verifica di compatibilità con il mutato impianto normativo; pertanto, dovrà essere tenuto in debita considerazione da parte di titolari e responsabili del trattamento nel momento in cui decidono di far ricorso a detta figura o – con riferimento ai responsabili del trattamento – di prestare siffatto tipo di servizio.
Volendo suddividere concettualmente le varie parti con compongono il summenzionato provvedimento del Garante privacy, con riferimento alla sua parte prescrittiva, si potrebbe affermare che tale documento sia scindibile in tre macro-sezioni principali: I) una parte dedicata all’onere di opportuna selezione dei soggetti specifici che materialmente andranno a ricoprire il ruolo di ADS; II) una parte dedicata alla formalizzazione del rapporto; III) un’ultima parte dedicata alla verifica dell’operato del relativo ADS nominato.
3.1 Selezione dell’ADS
Il primo onere che il Garante attribuisce alla figura del titolare del trattamento è quello di adeguata selezione della persona fisica interna o del fornitore che sarà incaricato delle funzioni di amministratore di sistema.
Riporta infatti il provvedimento del Garante: «L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza». Detta valutazione delle capacità, esperienza ed affidabilità, come anticipato immediatamente sopra, deve riguardare sia il candidato a ricoprire il ruolo di ADS interno alla struttura organizzativa del titolare del trattamento, sia l’eventuale fornitore esterno.
A prescindere dall’avvenuta emissione di un provvedimento ad hoc da parte del Garante, l’onere di opportuna selezione dell’ADS lo si potrebbe ricavare direttamente dalla normativa vigente (RGPD e D.Lgs. n. 196/2003, nel testo risultante in seguito alle modifiche apportate dalla novella del 2018). Ci si riferisce, in particolare, per quanto riguarda l’ADS interno, al combinato disposto degli artt. 5 § 2 e 32 RGPD, essendo posto in capo al titolare sia il dovere di mantenersi in grado di dimostrare costantemente la propria compliance rispetto al Regolamento europeo (principio di responsabilizzazione, ex art. 5 § 2 RGPD), sia – come si è potuto osservare in precedenza – il dovere di perseguire la sicurezza complessiva della propria attività di trattamento con misure sia tecniche che organizzative (ed il ricorso alla figura dell’ADS può – lo si ribadisce – essere considerato come l’adozione di una misura organizzativa funzionale all’implementazione delle misure tecniche necessarie) adeguate «per garantire un livello di sicurezza adeguato al rischio»; dovendo essere adeguata la misura organizzativa del ricorso alla figura dell’ADS, colui che sarà chiamato a ricoprire detto ruolo dovrà essere sottoposto ad un’attenta selezione basata su esperienza, competenza e appropriatezza rispetto al ruolo da ricoprire.
Per quanto riguarda l’ADS esterno, invece, il dovere di selezione lo si ricava direttamente dalla disposizione del paragrafo primo dell’art. 28 RGPD, che così recita: «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato».
3.2 Formalizzazione dell’incarico
Il secondo adempimento che si trova contenuto nel provvedimento del Garante datato novembre 2008 concerne invece la macro-fase che potremmo definire di “formalizzazione dell’incarico”. Si tratta, per la precisione, dell’onere di designazione individuale dell’ADS. Si legge nel provvedimento dell’autorità di controllo italiana: «La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato».
Va subito specificato che si tratta di un onere che risulta posto a carico sia del titolare del trattamento, laddove abbia deciso di istituire una figura di amministratore di sistema interna alla propria compagine organizzativa, sia del responsabile del trattamento-fornitore del servizio di ADS (esterno) nei confronti del sopraddetto titolare del trattamento. Il perché di questo adempimento è legato alla particolare delicatezza e natura fiduciaria che connota questo tipo di incarico, che richiede, pertanto, l’individuazione puntuale delle persone fisiche che materialmente andranno ad operare sui sistemi utilizzati dal titolare del trattamento ai fini della propria attività di trattamento dei dati personali. La designazione individuale, peraltro, che verrà in ogni caso effettuata ai sensi dell’art. 2-quaterdecies c. privacy (sia che venga effettuata dal titolare del trattamento nei riguardi di un ADS interno, sia che venga compiuta da parte dal responsabile del trattamento con funzioni di ADS esterno), rende possibile il controllo sull’operato del singolo ADS, rispondendo così anche ad un preciso dovere del titolare del trattamento di valutare costantemente l’adeguatezza delle misure organizzative adottate (la scelta di attribuire la funzione di ADS a quell’operatore specifico) al fine di assicurare un idoneo livello di sicurezza complessiva della propria attività di trattamento (art. 32 RGPD).
Il periodo sopra citato del provvedimento del Garante contiene, però, una prescrizione ulteriore che riguarda il contenuto necessario dell’atto di designazione: detto documento dovrà riportare anche «l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato». In cosa si traduce ciò?
In concreto, significa che dovrà essere stilata un’elencazione dei settori o delle aree operative rispetto ai quali l’ADS (persona fisica) viene chiamato a svolgere le proprie mansioni; non è necessario, in linea di massima, lo precisa lo stesso Garante privacy nel proprio provvedimento del 2008, che vengano indicati puntualmente i singoli asset di supporto che dovrebbero ricadere nel dominio operativo della figura tecnica qui oggetto di disamina. Ad ogni modo, la valutazione in punto di opportunità di specificare su quali sistemi, reti e/o apparati di sicurezza l’amministratore è autorizzato ad operare spetta necessariamente al titolare del trattamento, essendo colui che assume su di sé la responsabilità di strutturare la propria attività di trattamento in modo conforme ai dettami del Regolamento generale europeo e mantenerla tale (artt. 5 § 2 e 24 RGPD).
Il fatto che il Garante abbia ritenuto di affiancare a questa richiesta di elencazione la specificazione per cui essa avrebbe dovuto tenere in considerazione «[i]l profilo di autorizzazione assegnato» all’ADS, richiama, peraltro, alcuni dei più basilari principi di sicurezza delle informazioni che il soggetto attivo del trattamento dovrà applicare prima ancora di arrivare alla designazione formale dell’ADS, interessando infatti passaggi specifici che debbono necessariamente essere compiuti al fine di poter ricavare un profilo di autorizzazione da assegnare al professionista del settore ICT che si vuol nominare “Amministratore di sistema”.
Così, per prima cosa, andranno definiti e formalizzati ruoli e funzioni, seguendo quello che viene definito come principio della Segregazione dei ruoli (per evitare possibili abusi dei poteri, di natura volontaria o involontaria, deve essere prevista una rigida e formale separazione dei ruoli e delle responsabilità). Andranno poi definiti i relativi profili di autorizzazione, seguendo – in questo caso – altri due principi generali derivanti dal mondo dei sistemi di gestione della sicurezza delle informazioni: i) principio del Need-to-know, secondo cui l’accesso alle informazioni deve rimanere limitato a quei soli elementi conoscitivi di cui l’utente necessita effettivamente al fine di poter portare avanti i compiti assegnatigli; ii) principio del Privilegio minimo, in base al quale all’utente debbono essere concessi i soli permessi di accesso minimi dei quali abbia bisogno per svolgere compiutamente le proprie mansioni. Volendo completare il quadro, essendo a questo punto in grado, grazie ai passaggi precedenti, di individuare un profilo autorizzativo da attribuire alla figura tecnica che qui si va analizzando, e dunque di completare l’atto di designazione formale richiesto dal succitato provvedimento del Garante (e, più in generale, dalla normativa di settore), si potrebbe aggiungere che all’ADS così nominato dovranno inoltre essere assegnate credenziali d’accesso collegate ad utenze nominative; ciò, difatti, consentirà, non soltanto di ricollegare l’adempimento descrittivo in parola all’onere di designazione individuale, ma anche di ottemperare in modo opportuno all’onere di verifica dell’operato dell’ADS che – sia ai sensi dell’art. 32 RGPD, sia in ragione della specifica prescrizione contenuta nel medesimo provvedimento del Garante qui oggetto di analisi, come sarà illustrato meglio infra – grava sul soggetto attivo del trattamento che provvede alla designazione della persona fisica che andrà a ricoprire il ruolo di amministratore di sistema.
Altro adempimento richiesto dall’autorità di controllo nazionale che può essere ricondotto sempre a questa seconda macro-fase di “formalizzazione dell’incarico” (che, tuttavia, esplica effetti anche con riferimento alla fase di “verifica e controllo dell’operato dell’ADS”) è quello che riguarda la formazione e conservazione, da parte di colui che procede alla nomina di un ADS, di un elenco degli amministratori di sistema, da aggiornare puntualmente in caso di avvicendamenti e/o modifiche nella compagine dei soggetti che materialmente operano come amministratori di sistema per il titolare del trattamento.
Le parole del Garante al riguardo sono infatti molto chiare: «Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante./ […] Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema».
In quest’ambito, poi, il Garante colloca un’ulteriore prescrizione rivolta ai titolare del trattamento, segno della consapevolezza con cui l’autorità di controllo predetta ha deciso di affrontare questo tema, non trascurando il potenziale impatto che l’operato di un ADS – in quanto “strumento” in grado di rendere possibile un monitoraggio pressoché totale su informazioni ed eventi che interessano i sistemi IT e/o i dispositivi di sicurezza installati presso la struttura che lo ha ingaggiato – può avere con riferimento a tutto il personale interno all’organizzazione del titolare del trattamento. Viene dunque stabilito che: «Qualora l´attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l´identità degli amministratori di sistema nell´ambito delle proprie organizzazioni, secondo le caratteristiche dell´azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell´art. 13 [Reg. UE 2016/679], oppure tramite […] [altri] strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un’eventuale disposizione di legge che disciplini in modo difforme uno specifico settore».
3.3 Controllo sull’operato dell’ADS
La terza (e ultima) categoria di prescrizioni dettate dal Garante privacy nazionale si concentra, invece, sulla necessità che l’operato dell’ADS, sia esso un soggetto interno alla struttura organizzativa del titolare del trattamento ovvero un fornitore a cui sono state demandate le delicate mansioni gestorie che qui si vanno prendendo in considerazione[8], venga sottoposto ad un controllo, puntuale e periodico, circa l’effettivo adempimento degli obblighi imposti dalla normativa in materia di protezione dei dati personali attualmente vigente.
La prima prescrizione che può essere ricondotta a questa concettuale macro-sezione del provvedimento del Garante sugli ADS è quella che “sancisce” un dovere di verifica periodica sull’operato dell’amministratore di sistema; ciò riguarda sia l’operato dell’ADS interno alla struttura organizzativa del titolare del trattamento, quale soggetto designato ex art. 2-quaterdecies c. privacy facente parte della compagine aziendale del predetto titolare del trattamento, sia quanto posto in essere dall’ADS esterno (responsabile del trattamento) e dai soggetti (persone fisiche) da questi incaricati – sempre ex art. 2-quaterdecies c. privacy, quali persone sottoposte alla propria autorità di responsabile del trattamento – di compiere materialmente l’attività di gestione dei sistemi informatici del proprio committente-titolare del trattamento.
Nello specifico, il provvedimento del Garante prevede che: «L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti».
Il provvedimento del Garante, invero, non introduce obblighi ulteriori o diversi rispetto a quanto risulta già previsto a livello di normativa vigente. Infatti, per quanto riguarda la figura dell’ADS interno, il dovere di verificarne periodicamente l’operato risulterebbe sancito già dall’art. 32 § 1-lett. d) RGPD, il quale impone al titolare del trattamento di adottare (ed attuare) «una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento». L’adozione di un ADS – come si è avuto modo di accennare in precedenza – va considerata alla stregua di una misura organizzativa adottata dal titolare del trattamento affinché potessero essere implementate quelle misure di tipo tecnico ritenute necessarie al fine di garantire la sicurezza del trattamento e – più in generale – la conformità al Regolamento generale europeo; trattandosi dunque di una misura organizzativa ex art. 32 RGPD, il titolare del trattamento dovrà provvedere ad una sua periodica rivalutazione sotto il profilo della sua adeguatezza a mantenere l’attività di trattamento complessivamente posta in essere conforme ai dettami del Regolamento europeo.
Il dovere di verificare l’operato del fornitore-responsabile del trattamento con funzioni di ADS (esterno) discenderebbe, invece, dallo stesso art. 28 (§ 1) RGPD, in combinato col più generale principio di responsabilizzazione che grava sul titolare del trattamento in virtù del combinato disposto degli artt. 5 § 2, 24 § 1 e 32 (§ 1-lett. d)) RGPD; verifica che, a cascata, si estenderà anche all’operato dei singoli individui che sono stati incaricati dal fornitore di svolgere materialmente le funzioni di ADS per la struttura organizzativa del titolare del trattamento. Sarà inoltre interesse dello stesso fornitore-ADS esterno verificare periodicamente che i propri soggetti designati ex art. 2-quaterdecies c. privacy svolgano compiutamente (e lecitamente) le mansioni a questi assegnate; l’art. 28 §§ 1 e 3-lett. h) RGPD impongono infatti al responsabile del trattamento di fornire al titolare del trattamento prova della propria compliance rispetto alla normativa di settore.
L’ultimo adempimento richiesto dal provvedimento del Garante, funzionale a permettere il compimento delle necessarie verifiche sull’operato di coloro che hanno la gestione dei sistemi IT dell’organizzazione del titolare del trattamento, riguarda la registrazione degli accessi logici che i singoli ADS compiono rispetto ai sistemi di elaborazione ed agli archivi informatici della struttura ove essi sono chiamati a svolgere le proprie mansioni, essendo peraltro previsto che detti file di log abbiano un contenuto minimo prefissato, funzionale a permettere l’essenziale ricostruzione delle circostanze che hanno caratterizzato l’evento di interazione tra ADS e macchina, oltreché un loro periodo minimo di conservazione obbligatoria da parte del soggetto attivo del trattamento onerato di compiere la predetta attività di monitoraggio e controllo sull’operato di siffatta categoria di tecnici.
Così si legge all’interno del sopraddetto provvedimento dell’Autorità di controllo nazionale: «Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste./ Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi».
Oltre ai contenuti a cui si è fatto cenno immediatamente sopra, dalle parole utilizzate dal Garante si evince anche che gli access log di cui ne è richiesta la creazione e conservazione debbano inoltre possedere delle caratteristiche ben precise: completezza, inalterabilità e integrità. Il modo per raggiungere questi obiettivi è rimesso alle scelte del titolare del trattamento, il quale – in virtù del principio di responsabilizzazione (artt. 5 § 2 e 24 RGPD) – ha la facoltà e l’onere di valutare le modalità più opportune per progettare e mantenere la propria attività di trattamento dei dati personali in linea con i dettami del Regolamento europeo. Ad esempio, al fine di poter assicurare l’inalterabilità delle registrazioni effettuate, le strade sono molteplici: è possibile adottare un sistema centralizzato di gestione dei log, che garantisca – al contempo – sia l’integrità che la inalterabilità dei file in questione, ma potrebbe essere ritenuto valido anche procedere con delle estrazioni periodiche dei log generati dalle applicazioni e dai sistemi connessi in rete, con conseguente memorizzazione degli stessi su supporti ottici non riscrivibili. Solo il titolare del trattamento conosce la propria struttura organizzativa e la propria attività di trattamento; solo questi, pertanto, può scegliere la soluzione migliore per garantire il rispetto dei principi vigenti in materia di data protection in relazione alle possibilità reali della propria organizzazione.
Da precisare che, per quanto riguarda il requisito della completezza della registrazione, menzionato sempre dal provvedimento del Garante qui oggetto di analisi, non deve farsi l’errore di identificare detto elemento con una richiesta di ricchezza (sotto il profilo informativo, di contenuti) legata al file di log che il sistema è chiamato a generare al momento dell’evento interattivo che coinvolge l’ADS. “Completezza”, nel senso fatto proprio dal Garante privacy, significa difatti che le registrazioni in questione dovranno interessare tutti gli eventi di accesso logico compiuti dagli ADS nell’ambito di tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali da parte della struttura organizzativa nell’interesse della quale questi ultimi prestano la propria attività. Non va dimenticato, del resto, che anche la generazione, la conservazione, la consultazione e/o analisi degli access log configura un’attività di trattamento dei dati personali (relativi agli ADS persone fisiche); pertanto, anche questo tipo di attività dovrà soggiacere ai medesimi principi generali sul trattamento di dati personali che regolano ogni attività di trattamento, a partire dal principio di minimizzazione dei dati sancito dalla lettera c) dell’art. 5 § 1 RGPD.
Riprendendo le parole utilizzate dalla Autorità di controllo italiana al fine di descrivere quest’ultimo tipo di adempimento, si nota poi che dette registrazioni, a livello contenutistico, debbono «comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate». Il contenuto minimo (e tipico) di un event record relativo agli accessi di tipo interattivo compiuti dagli amministratori di sistema potrebbe quindi essere il seguente:
- username ADS;
- data e ora dell’evento;
- descrizione dell’evento (sistema di elaborazione o software utilizzato; evento di log-in, log-out o errore; linea di comunicazione o dispositivo terminale utilizzato).
Ovviamente, detto file di log può anche avere un contenuto più ampio di quello riportato nell’esempio appena proposto, dato che rientra nell’ambito della responsabilizzazione del titolare del trattamento determinare tutti gli elementi (a maggior ragione, quelli essenziali, come la scelta dei dati da trattare) di una propria attività di trattamento relativa ad informazioni personali. Resta tuttavia implicito che, anche nella scelta dei contenuti da inserire all’interno del file di log generato in conseguenza delle attività degli ADS sui sistemi di elaborazione dell’organizzazione che li ha ingaggiati, debbano comunque essere rispettati i principi generali fissati dal Regolamento europeo n. 679 del 2016 e dalla normativa nazionale ad esso correlata (ed il rimando non può che essere, anche in questo caso, al succitato principio di minimizzazione dei dati).
Si specifica, infine, che i log in questione andranno poi conservati in modo opportuno per un congruo periodo di tempo (che il titolare del trattamento dovrà stabilire), il quale non potrà tuttavia essere inferiore a sei mesi.
Autore: Alessandro Paoletti
[1] Nel prosieguo del testo verrà fatto riferimento a questa figura anche semplicemente attraverso la sigla “ADS”.
[2] D’ora in poi, anche “RGPD” o “GDPR”.
[3] Si v. “Vocabolario on line” di Treccani, voce “Soprintendere”, reperibile in Internet, al seguente indirizzo web: https://www.treccani.it/vocabolario/soprintendere/.
[4] Garante per la protezione dei dati personali, 27 novembre 2008, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, doc. web n. 1577499, reperibile in Internet, all’indirizzo web: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499.
[5] Così Garante per la protezione dei dati personali, 27 novembre 2008, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, cit.
[6] Art. 4 n. 2 RGPD: «“trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
[7] Art. 28 § 3 RGPD: «I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:/ a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;/ b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;/ c) adotti tutte le misure richieste ai sensi dell’articolo 32;/ d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;/ e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;/ f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;/ g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e/ h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato./ Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati».
[8] I cui dipendenti o collaboratori andranno materialmente ad operare sui dati personali del titolare del trattamento in qualità di soggetti espressamente designati, ex art. 2-quaterdecies c. privacy, dal fornitore-responsabile del trattamento avente funzioni di ADS (esterno).
