Il provvedimento del Garante Privacy sugli amministratori di sistema soffre dalle sue origini di una eccessiva enfasi e costituisce un esempio emblematico di come la mancata lettura del testo di legge da parte di chi è tenuto a rispettarlo abbia portato a enfatizzare quello che in realtà era un adempimento residuale e questo solo a beneficio di consulenti e società produttrici di appliance[1].
In termini pratici, infatti, il contributo alla protezione dei dati personali di tale provvedimento era decisamente molto basso; là dove applicabile, la normativa prevedeva che per i soggetti designati quali amministratori di sistema dovevano essere registrate e periodicamente controllate alcune informazioni.
Tali informazioni riguardavano unicamente il login, il logout e i tentativi di accesso ai sistemi da parte dei sopra citati soggetti; nulla circa le attività svolte dopo essersi collegati doveva essere registrato.
Ma vediamo ora quale fosse il reale perimetro di applicazione del provvedimento.
Amministratore di sistema, chi è, che fa e la nomina alla luce del Gdpr
Indice degli argomenti
Gli amministratori di sistema prima del GDPR
Nel suo travagliato iter, tale atto nasce con una importantissima limitazione, che trova espressione nel punto 4 del provvedimento (o nella FAQ numero 6 del Garante).
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell’art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008).
In altre parole sono esclusi dal provvedimento i trattamenti amministrativo-contabili.
Ma quali sono dunque i trattamenti ai quali non si applica il provvedimento sugli amministratori di sistema?
La definizione di cosa sia un trattamento amministrativo contabile si ritrova nel D.lgs 196/03 (pre GDPR) che, recita:
1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Appare evidente che, in base alla definizione dell’art. 34 1-ter, sono ben pochi i normali ambiti aziendali che potrebbero non rientrare in tale definizione.
A dire il vero, una normale organizzazione effettua solo finalità amministrativo-contabili.
Quindi, salvo il fatto che svolga attività di marketing o qualche specifico trattamento in ambito produttivo, il provvedimento sugli amministratori di sistema non si applicava alla maggior parte delle organizzazioni.
Ma vi sono ulteriori elementi che limitavano fortemente l’applicabilità del provvedimento.
Lo stesso, infatti, non prende in considerazione tutti i soggetti che a vario titolo operano con privilegi amministrativi.
Non rientrano infatti nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software (FAQ Garante).
Ma vi un aspetto ancor più importante da considerare.
Per essere designato amministratore di sistema, oltre alle caratteristiche oggettive (avere dei privilegi amministrativi) un soggetto deve anche avere delle caratteristiche soggettive non banali:
4.1 Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell´art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell´art. 29.
In altre parole, se nelle poche situazioni nelle quali si applicava il provvedimento i soggetti che operavano con privilegi amministrativi non avevano le caratteristiche previste dall’art. 4.1 qui riportato, gli stessi non erano designabili quali amministratori di sistema e quindi non era applicabile la registrazione dei loro log.
Da tutto quanto sopra appare evidente come l’enfasi data a tale provvedimento è assolutamente ingiustificata e solo un numero molto residuale di organizzazioni dovevano rispettarlo, oltretutto limitatamente ad alcune finalità di trattamento.
Ma cosa succede se anche in assenza di un obbligo veniva comunque effettuata una registrazione dei log previsti dal provvedimento o se tali log venivano registrati anche relativamente alle finalità amministrativo-contabili?
In realtà tale attività, comportando un trattamento di dati personali (i log degli amministratori di sistema ed i loro dati identificativi) avrebbe richiesto una specifica base giuridica, diversa dall’obbligo di legge, che nel caso presentato era assente, da esplicitare nella informativa rilasciata agli amministratori di sistema.
In assenza di tale base giuridica, la registrazione dei log era a tutti gli effetti un illecito trattamento di dati personali, con tutte le conseguenze, anche potenzialmente penali del caso.
In altre parole le normativa privacy è complessa e pericolosa e non si può improvvisare.
Non bisogna essere più bravi di quanto richiesto; l’incompetenza non è tollerata.
L’applicazione post GDPR
Visto quanto sopra esposto perché ci poniamo il problema della sua applicabilità oggi?
La situazione è radicalmente cambiata e a dire il vero potremmo anche dimenticarci di questo provvedimento nella sua formulazione originale.
Come evidenziato nel precedente articolo Le misure di sicurezza nel GDPR: quali sono, come applicarle, costi di attuazione gli aspetti relativi alle misure di sicurezza nel GDPR sono descritte in più articoli e specifiche misure obbligatorie sono citate sono negli art. 25.2 e 32.4.
In particolare l’articolo 25.2, obbligando a minimizzare il numero dei soggetti che può accedere ai dati, di fatto impone un obbligo di profilazione e la predisposizione di misure di autenticazione e autorizzazione all’accesso.
Tali misure, in ogni caso, non possono garantire un accesso lecito ai dati, ma solo un accesso legittimo.
In altre parole si limitano ad individuare chi è autorizzato formalmente e tecnicamente ad accedere ai dati.
Affinché il suo accesso sia anche lecito (cioè acceda ai dati solo se effettivamente lo deve fare per svolgere la sua attività), sarà necessario predisporre ulteriori misure di sicurezza.
In altre parole, un dipendente che non sia dell’ufficio paghe, ma che sia ad esempio dell’audit, commette a tutti gli effetti un illecito (e in realtà una violazione di dati personali la cui gravità è legata, in prima istanza, ai possibili impatti per i soggetti i cui dati sono stati violati), se accede ai dati dello stipendio dei colleghi per pura curiosità.
Le ulteriori misure di sicurezza da predisporre difficilmente potranno essere preventive (ad esempio una richiesta di autorizzazione al proprio capo che sblocchi l’accesso ai dati ogni volta che sia necessario) e pertanto potranno basarsi, ad esempio, su un controllo a posteriori dei log di accesso (come fra gli altri prescritto, proprio a tale scopo, da un altro provvedimento dell’Autorità Garante nei confronti delle banche).
Un log molto più ricco di quello previsto dal provvedimento sugli amministratori di sistema, che oltre al log in e log out comprende anche l’attività effettuata dall’utente sui dati.
Quindi il provvedimento sugli amministratori di sistema è largamente superato dall’art. 25.2, in quanto anche la loro attività (e non solo il log in e log out) dovrà essere registrata.
Trattandosi di un obbligo normativo non è necessario individuare alcuna altra base giuridica, ma questo non toglie che l’attività comporta, nella maggior parte dei casi, l’attivazione di un accordo sindacale ai sensi della legge 300/70.
Il rispetto di un obbligo normativo non autorizza, infatti, a violare un’altra normativa.
Dell’originario provvedimento sugli amministratori di sistema resteranno pertanto, là dove applicabili secondo quanto descritto nella prima parte di questo articolo, gli aspetti relativi alla designazione (visto che la verifica periodica è comunque un’attività necessaria per garantire che l’accesso ai dati da parte dei soggetti autorizzati (e non solo degli amministratori di sistema) sia lecita).
NOTE
Si veda al riguardo il mio articolo: Ulisse, le sirene e la conoscenza. ↑
