Amministratore di Sistemi Informatici

L’amministratore di sistema, pur non essendo esplicitamente richiamato nel GDPR, ha una considerevole responsabilità sui dati aziendali e riveste un ruolo particolare sul piano operativo all’interno dell’azienda. Siamo in grado di ricoprire le prerogative e le funzioni di questa figura e gli obblighi previsti dal Garante Privacy.

L’amministratore di sistema o, tecnico sistemista di rete, è una figura professionale che approfondisce le competenze di un tecnico hardware e software soprattutto per quanto riguarda le caratteristiche delle architetture informatiche e, in particolare, l’utilizzo e la condivisione di grandi quantità di dati attraverso le reti di couniazione. 

Si occupa quindi essenzialmente di ogni tipo di rete informatica, comprese quelle a cui non si accede via web, come le reti intranet e implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti, curando interventi di conservazione dei dati attraverso debite soluzioni di “backup” e progettando le attività di supporto al “disaster recovery”.

 

In assenza di definizioni normative e tecniche condivise, l’amministratore di sistema viene definito nel Provvedimento del Garante del 27 novembre 2008 come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. Dunque, l’amministratore di sistema durante l’espletamento dei suoi incarichi, pur se meramente tecnici, ha un considerevole impatto di responsabilità sui dati aziendali e riveste sul piano operativo un ruolo particolare ed una certa professionalità all’interno dell’azienda.

Assumendo tale ruolo l’Amministratore di sistema si impegna quindi a garantire attività e modalità ben specifiche:

1 – Assicurare che le attività tecniche che possono comportare il trattamento dei dati personali avvengano nel rispetto delle misure di sicurezza tecniche, informatiche, organizzative, logistiche e procedurali predisposte dal Titolare, anche in futuro, in linea con quanto previsto dal Regolamento EU N 2017/679

2 – Effettuare le attività tecniche esclusivamente per le finalità e con le modalità inerenti l’ambito di operatività  cui si è autorizzati e solo per gli scopi determinati, espliciti e legittimi individuati dalla sua funzione;

3- Salvo autorizzazione scritta del Titolare: non estrarre copia di banche dati o di singoli  dati al di fuori dell’incarico ricevuto; non creare nuove ed autonome banche dati; non raccogliere ed in qualsiasi modo trattare dati personali al di fuori dell’incarico ricevuto;

4 – Porre in essere ogni attività necessaria a  ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, anche in relazione alle conoscenze acquisite in base al progresso tecnico, i rischi di distruzione o perdita – anche accidentale – dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

5 – Proporre per iscritto modifiche, integrazioni e cambiamenti ritenuti opportuni e necessari;

6 – Verificare costantemente l’adozione delle misure minime di sicurezza previste dal Codice Privacy (artt. 33-36) e dal Disciplinare Tecnico (Allegato B del Codice) e segnalare al Titolare ogni eventuale inadempienza rilevata;

7 – Comunicare per iscritto al Titolare ogni episodio o fatto rilevante che sia occorso nel trattamento dei dati e nella gestione del sistema informativo inclusi, a titolo meramente esemplificativo, eventuali accessi non autorizzati, situazioni anomale, eventuali altre irregolarità ovvero episodi che possano in qualsiasi  modo determinare pericolo nel trattamento o nella sicurezza dei dati o nella gestione del sistema informativo;

8 – Informare prontamente per iscritto il Titolare (i)  qualora si verifichi la necessità di porre in essere operazioni di trattamento di dati personali per finalità o con modalità diverse da quelle risultanti dalle istruzioni ricevute; (ii) in caso di qualsiasi richiesta, ordine od attività di controllo da parte del Garante per la protezione dei dati personali o dell’autorità giudiziaria, ovvero qualsiasi richiesta od istanza  di qualsiasi genere e contenuto da parte di Interessati;

9 – Collaborare con il Titolare per garantire i diritti degli Interessati in conformità a quanto disposto dall’art. 7 del Codice Privacy;

10 – Partecipare alle attività di formazione organizzate dal Titolare;

11 – Verificare l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici. Secondo quanto disposto dal provvedimento, le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono essere conservate per un periodo non inferiore a sei mesi;

12 – Fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; il suo operato, secondo quanto disposto dal Provvedimento, deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte del Titolare/Responsabile del trattamento, in modo tale che venga controllata la sua rispondenza alle misure organizzative, tecniche e di sicurezza previste dalle norme vigenti in materia.