Amministratore di sistema, DPO e responsabili vari: esistono troppe zone grigie nell’attuale panorama dei vari ruoli identificati nell’organigramma privacy e fare proposte può tornare utile per discutere e confrontarsi sul tema.
È importante innanzitutto capire come si evolve o si dovrebbe evolvere la dinamica interna alle grandi aziende, considerando anche i rapporti con le direzioni marketing, la forza vendita e le agenzie di comunicazione.
Indice degli argomenti
Il ruolo dell’amministratore di sistema
L’amministratore di sistema potrebbe essere considerato una specie di animale mitologico, un po’ tutti ne parlano, nei corsi sulla privacy, prima e dopo il GDPR, è stato menzionato, evocato, citato.
Il GDPR non menziona la figura anche se in diversi articoli dispone principi e azioni alle quali il titolare del trattamento dovrebbe attenersi, che per loro natura potrebbero rientrare nell’area di competenza e di azione dell’amministratore di sistema.
A titolo di veloce riepilogo ricordiamo che questa figura, specifica del nostro ordinamento, è stata disciplinata dal Garante della protezione dei dati nel 2008 con un provvedimento generale del 27 novembre 2008, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.[1]
Nell’art. 1 si afferma: “Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”.
Come si può leggere si tratta di una figura complessa, sul campo, nel senso di pienamente operativa sui sistemi informativi e tutti i sistemi informatici; una figura che quindi ha ampia potenzialità e poteri a tal punto che il Garante nel 2008 premise la seguente affermazione:
“Constatato che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti […]”.
Vorrei sottolineare l’importanza della espressione “anche per caso fortuito” spesso sottovalutata dai titolari del trattamento dei dati, cioè la mancanza di una volontarietà da parte dell’amministratore di sistema nel voler accedere ai dati.
Il semplice fatto, per esempio, di svolgere attività di manutenzione o aggiornamento di un server, può generare un fortuito accesso ai dati. È evidente che nel nostro ordinamento si è introdotta e lasciata attiva una figura ulteriore nell’organigramma della privacy[2] che implica di fare chiarezza sulle loro aree di competenza e come invece possano interagire positivamente creando quell’ambiente, quel contesto positivo in un’organizzazione che consente di proteggere i dati personali.
Quindi sempre e comunque l’art.24 del GDPR che nello specifico, e lo ricordiamo sempre per tessere un percorso, un ragionamento, stabilisce che: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
Possiamo dire che il titolare del trattamento dei dati nel contesto italiano è apparecchiato meglio di altri: egli infatti può godere della collaborazione dell’amministratore di sistema che nel momento in cui adempie agli obblighi previsti dal Garante, di fatti attua quelle misure tecniche e organizzative adeguate. La conseguenza è una forte articolazione dei ruoli e delle figure coinvolte nella protezione dei dati.
Se in una piccola azienda tutto questo può sembrare troppo complicato e dispendioso e forse anche eccessivo, in aziende di medie e grandi dimensioni è assolutamente necessario mappare i processi, i ruoli di chi tratta dati[3] e le politiche adeguate alla protezione dei dati.
Ancora più importante questa attività se ci troviamo di fronte ad aziende rivolte al consumatore, pensiamo per esempio alle agenzie di comunicazione, marketing o e-commerce. Queste sono realtà che trattano una grande quantità di dati, spesso attraverso servizi in cloud o di terze parti: si pensi alle nuove piattaforme di inbound marketing, o i social media o le semplici piattaforme di e-mail marketing. Inoltre, spesso questi servizi hanno spesso, ancora oggi, data center fuori dal perimetro europeo.
A una lettura superficiale potrebbe sembrare che nel nostro ordinamento ci siano troppe figure coinvolte, ma come saggiamente ha scritto Guido Baracca su AgendaDigitale: “Il ruolo della figura dell’amministratore di sistema è un tema di primaria importanza nell’ottica del rispetto dell’attuale normativa privacy”.
Amministratore di sistema e DPO: due incarichi complementari
Ma come possono convivere l’amministratore di sistema e il DPO, soprattutto in chi opera nei settori della comunicazione e del marketing? Un settore, va detto, soggetto a tantissime PMI di ottimo lavoro.
Per rispondere a questa domanda, dovremmo conoscere le premesse che nel 2008 spinsero il Garante italiano a rinforzare e legittimare la figura dell’Amministratore di sistema.
Nelle Considerazioni preliminari possiamo leggere: “Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.
Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime”.
Come si può leggere, si tratta di questioni strettamente tecnico-informatiche, attività che naturalmente rientrano o possono rientrare nelle misure tecniche dell’art.32 del GDPR[4]. D’altra parte, il Considerando 97, decisamente uno dei meno felici per chiarezza, sottolinea che: “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento”.
Stiamo parlando di due figure in realtà fortemente specialistiche se non tecniche. Tanto è vero che sia il Garante sia il Legislatore europeo hanno identificato le caratteristiche di queste due figure richiedendo valutazioni molto puntuali.
Per l’amministratore di sistema il Garante della Privacy scrive che: “L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”[5].
Se leggiamo l’art. 37 del GDPR, comma 5, troviamo alcuni elementi comuni: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
A parte che entrambi sono soggetti a una valutazione sull’esperienza o le qualità professionali, il dato più interessante è che per entrambi si richiede di essere idonei, fornire una garanzia e ad avere la capacità di assolvere ai compiti che loro sono stati assegnati.
Sulla valutazione ricordiamo che mentre per l’amministratore di sistema è abbastanza agile provarne le competenze attraverso le certificazioni dei produttori di software e scuole di formazione, per il DPO sarà importante un percorso professionale e una costante attività di formazione e non certamente essere solamente iscritti ad ordini professionali[6] non strettamente affini ai temi tecnici menzionati nell’art.32 del GDPR.
Amministratore di sistema e DPO: servono competenze
Entrambe le figure sono fondamentali perché l’attesa normativa è di essere particolarmente qualificati ed esperti. Rispetto quindi al titolare del trattamento dei dati, che spesso si traduce in un rappresentante legale che deve assolvere anche alle incombenze della protezione dei dati senza avere competenze specifiche, il DPO e l’amministratore di sistema hanno competenze.
Nelle grandi aziende dove è possibile costruire un team dedicato che si preoccupa della protezione dei dati, il vantaggio è evidente. Non solo si ha una figura vigile come il DPO ai sensi dell’art.39 lettera b), ma anche ai sensi della lettera a) svolge quel lavoro consulenziale per informare “in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”.
In Italia il DPO informa e supporta l’amministratore di sistema, che però ha le competenze tecniche per adoperarsi in modo adeguato. L’art.32 del GDPR, quindi, ha ben due figure che possono operare in sinergia per supportare il titolare e il responsabile del trattamento nel mettere “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
D’altra parte, il Garante nel 2008 sottolineava anche un altro aspetto che con il GDPR probabilmente necessita proprio di essere equilibrato dalla figura del DPO: “Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della società dell´informazione”.
La natura fiduciaria di cui si parla nel Provvedimento generale non è sostenibile perché dettata da un processo non razionale e logico, ma soprattutto non documentato e verificabile così come il Garante si aspettava.
Bisogna però immaginare che solo nelle grandi aziende è possibile trovare processi di selezione del personale o dei fornitori che consenta di strutturare processi razionali di selezione e identificazione delle competenze.
Nella PMI italiana sarà ancora spesso e volentieri il rapporto fiduciario a guidare la nomina, ecco perché dove il DPO è obbligatorio o il titolare del trattamento decide comunque di nominarlo, questo ruolo consente di ridurre il peso irrazionale, quella natura fiduciaria temuta del Garante, e di avviare processi strutturati per l’adozione di misure di sicurezza adeguate o di monitorarle.
L’amministratore di sistema, come esperto e certificato nel settore informatico e informativo, ha l’occasione anche di stimolare e introdurre soluzioni innovative e sempre aggiornate supportato dal DPO che, conoscitore del GDPR, saprà valutare le proposte e offrire suggerimenti e informazioni necessarie per adottarle.
Conclusioni
D’altra parte, tutto questo affresco potrebbe anche nascondere una serie di zone grigie che meriterebbero qualche chiarimento.
Da quando il GDPR è entrato in vigore, si è spesso assistito a una interpretazione dello stesso come norma sulla sicurezza informatica perché spesso l’amministratore di sistema si è trovato ad essere l’unica figura in qualche modo coinvolta nella protezione dei dati.
D’altra parte, l’eccesso di attenzione sul GDPR ha fatto perdere l’attenzione sulla nomina dell’amministratore di sistema. Questo sbilanciamento verso i dati in formato digitale sta causando una perdita di attenzione verso gli archivi cartacei e le competenze archivistiche.
Nel nostro ordinamento siamo fortunati ad avere questa figura ulteriore nell’organigramma della protezione dei dati, ma genera uno sbilanciamento verso un aspetto apparentemente fondamentale, come il settore informatico, ma rischiando di far perdere l’attenzione sugli archivi cartacei, tradizionali, che riempiono le nostre aziende e soprattutto le pubbliche amministrazioni.
È chiaro che non è compito dell’amministratore, mentre il DPO dovrà necessariamente sollecitare l’applicazione del GDPR su tutti gli archivi, di qualsiasi tipo, e costruire un rapporto efficace con l’amministratore per definire strategie di protezione dei dati fondate sul controllo delle utenze se per esempio si riesce a gestire in modo centralizzato e in un’unica soluzione l’utenza di ogni dipendente.
Un’attività, come quella in esempio, è necessaria nel suo aspetto di monitoraggio e audit delle politiche di protezione dei dati anche per il DPO. Se le due figure collaborano, non si possono che ipotizzare organizzazioni efficacemente rivolte alla protezione dei dati, al contrario si rischia un rimbalzo di responsabilità lasciando spazi vuoti.
Probabilmente proprio quello che non voleva il legislatore europeo, mentre all’epoca probabilmente il Garante regolamentò la figura dell’amministratore per sopperire a gravi mancanze nella protezione dei dati.
NOTE
- Pubblicato nella Gazzetta Ufficiale nr. 300 del 24 dicembre 2008. Per un’approfondita trattazione di questa figura rimandiamo anche all’ottima guida di Guido Baracca su AgendaDigitale.eu. ↑
- Con questo termine vogliamo intendere la complessità di ruoli che ai sensi dell’art. 4 del GDPR trattano dati o dispongono delle politiche. ↑
- Si rimanda all’art.4 del GDPR per la definizione di “trattamento”. ↑
- Menzioniamo l’art.32, ma anche gli articoli contenuti nel Capo III, Diritti dell’interessato o la valutazione d’impatto ai sensi dell’art.35 e il tema del trasferimento dei dati. ↑
- 4.1 Valutazione delle caratteristiche soggettive del provvedimento generale, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 ↑
- Nel massimo rispetto verso tutte le professionalità, comprendere le differenze tra una firewall software o un hardware, le capacità predittive e comprensione con sistemi IDS; tutto questo implica una maggiore articolazione di competenze multidisciplinari. L’ideale sarebbe sempre una squadra composta e articolata con più competenze, compresa quella archivistica che oggi è soggetta a una grande opportunità di innovazione e di cambiamento. ↑
