la guida

Amministratore di sistema, chi è e cosa fa: tutto quello che c’è da sapere

La figura dell’amministratore di sistema è centrale per le imprese, associazioni, enti pubblici e privati che vogliono dimostrare il rispetto del Gdpr. Ecco chi è, come viene nominato, di cosa si occupa

28 Ago 2019
Guido Baracca

Consulente Privacy, Responsabile protezione dati – Data protection officer

System-Administrator

Il ruolo della figura dell’amministratore di sistema è un tema di primaria importanza nell’ottica del rispetto dell’attuale normativa Privacy composta dal Regolamento generale sulla protezione dei dati (GDPR) e dal decreto legislativo 30 giugno 2003 n. 196 recante il “Codice in materia di protezione dei dati personali” come novellato dal decreto legislativo n. 101 del 10 agosto 2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR”.

Chi è l’amministratore di sistema e chi deve nominarlo

L’inquadramento di questo soggetto è fornito direttamente dal Garante tramite il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008”, aggiornato a seguito delle modifiche introdotte il 25 giugno 2009, nel quale l’amministratore di sistema viene definito come quella figura professionale che ha il compito di gestire ed effettuare la manutenzione di un impianto di elaborazione o delle sue componenti. Il Garante fa rientrare in questa definizione, poiché i rischi relativi alla protezione dei dati sono praticamente gli stessi, gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Gli Amministratori di Sistema così individuati sono “concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati”.

La nomina deve essere effettuata dal Titolare del trattamento che alla luce dell’articolo 4 del GDPR è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” nei casi in cui il trattamento si caratterizza per finalità ulteriori rispetto a quelle strettamente legate all’ambito amministrativo e/o contabile.

Chi può ricoprire il ruolo di amministratore di sistema e come si designa

Il Garante prescrive che questo ruolo debba essere ricoperto soltanto da soggetti fisici o giuridici che preventivamente siano stati valutati in base alla loro esperienza, capacità e affidabilità e che abbiano fornito, prima della loro designazione, “idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”, argomento direttamente trattato anche dagli art. 28 e 32 del GDPR per quanto riguarda i profili relativi alle garanzie e alla sicurezza del trattamento.

In ogni caso, la designazione quale amministratore di sistema, sia dipendente del Titolare oppure di una società esterna, deve sempre essere accompagnata dall’individuazione di una persona fisica con annessa elencazione analitica delle funzioni ad esso attribuite, possibilmente, in un unico documento.

Il Garante impone, nel caso di designazione di una persona fisica dipendente del Titolare, che questo documento debba essere disponibile e aggiornato presso il Titolare stesso per poi essere presentato in caso di verifica ispettiva da parte del Garante. Invece, nel caso in cui l’amministratore di sistema sia fornito tramite un contratto di servizi da un soggetto esterno al Titolare, questo documento deve essere presente all’interno dello stabilimento del Titolare o del soggetto esterno.

Nell’ipotesi in cui l’attività dell’amministratore di sistema riguardi anche “indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori” il Titolare deve assolutamente fornire conoscenza ai dipendenti stessi dell’identità dell’amministratore di sistema. È ritenuto idoneo presentare questa informazione tramite l’informativa da rendere ai dipendenti alla luce dell’art. 13 del GDPR e/o tramite strumenti di comunicazione interna come per esempio una circolare interna o l’intranet.

Per quanto riguarda la designazione, se esso è dipendente del Titolare allora dovrà essere inquadrato anche come autorizzato al trattamento come indicato dall’art. 29 GDPR poiché egli opera sotto la diretta autorità del Titolare stesso.

Invece, quando questo ruolo è ricoperto da un soggetto esterno, il Titolare dovrà inquadrarlo come Responsabile esterno del trattamento tramite un contratto o altro atto giuridico idoneo come disposto dall’art. 28 del GDPR.

Di cosa si occupa l’amministratore di sistema e verifica della sua attività

È consigliabile che l’amministratore di sistema metta in atto le prescrizioni del Garante fornite nel suddetto provvedimento oltre ai compiti già affidatogli dal Titolare e sempre e comunque nel pieno rispetto dell’art. 32 del GDPR sulla sicurezza del trattamento dei dati personali. È necessario presentare questi compiti sotto forma di istruzioni predisposte dal Titolare stesso ed è consigliabile implementare almeno questo elenco:

  • un sistema di registrazione degli accessi, tramite username e password, ai sistemi informatici e agli archivi elettronici. Nel caso in cui vengano trattati dati personali comuni è buona norma aggiornare la password ogni 6 mesi, mentre nel caso si trattino dati personali particolari (ex art. 9 GDPR, ex dati personali sensibili), come per esempio quelli relativi alla salute, è buona norma aggiornare la password ogni 3 mesi;
  • le password devono essere composte da almeno 8 caratteri, di cui una lettera maiuscola, una lettera minuscola, un carattere speciale o di punteggiatura e deve essere proibito l’utilizzo di password già precedentemente usate e di password che possano riferirsi, anche indirettamente, all’utilizzatore;
  • un sistema di access log con caratteristiche di “completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste”. Inoltre, queste “registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a 6 mesi”;
  • una procedura di business continuity e disaster recovery con annesso collaudo dei backup e test di verifica della procedura stessa. I backup dovranno essere eseguiti almeno una volta a settimana;
  • pseudonimizzazione e/o cifratura dei dati personali;
  • “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”;
  • “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Inoltre, nel caso in cui la designazione ad amministratore di sistema ricada su un soggetto esterno, lo stesso dovrà essere nominato Responsabile esterno del trattamento e dovrà garantire il rispetto delle disposizioni di cui all’art. 28 GDPR, tra cui:

  • attenersi alle istruzioni impartite dal Titolare;
  • garantire “che le persone autorizzate al trattamento dei dati personali siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza”;
  • assistere il Titolare al fine di soddisfare l’esercizio dei diritti degli interessati;
  • prestare assistenza al Titolare in caso di violazione di dati personali;
  • cancellare o restituire tutti i dati personali in caso di risoluzione del rapporto;
  • assistere il Titolare nell’eventuale valutazione d’impatto sulla protezione dei dati personali e nell’eventuale consultazione preventiva al Garante.

È importante sottolineare, infine, che l’operato dell’amministratore di sistema e le istruzioni ad esso impartite debbano essere sottoposte a verifica da parte del Titolare con cadenza almeno annuale.

L’amministratore di sistema nel Codice penale

A causa della delicatezza del ruolo di amministratore di sistema il Legislatore ha previsto specifiche circostanze aggravanti per i reati commessi dalle persone che ricoprono questa funzione:

  • accesso abusivo ad un sistema informatico o telematico (art. 615 ter Codice penale);
  • danneggiamento di sistemi informatici e telematici (art. 635 bis Codice penale);
  • danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635 ter Codice penale);
  • danneggiamento di sistemi informatici o telematici (art. 635 quater Codice penale);
  • danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies Codice penale);
  • frode informatica (art. 640 ter Codice penale).

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4