Amministrazione di sistema

La Ichnosnet ha consolidata esperienza nell’amministrazione
di sistema di Enti Pubblici e Aziende.

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.

Coloro i quali gestiscono l’accesso a banche dati, sono generalmente
preposti a operazioni da cui discendono grandi responsabilità ed elevate
criticità rispetto alla protezione dei dati personali a cui hanno accesso.
Ricordiamo, infatti, che per sua natura l’amministratore di sistema è dotato
di una capacità di azione propria e di un rapporto fiduciario che lo lega al
titolare nello svolgimento delle relative mansioni (ruolo così importante
per le aziende e per le grandi organizzazioni pubbliche e private,
tanto da farlo nominare a volte anche quale responsabile del trattamento).
Ma anche nelle piccole realtà tale figura riveste una certa importanza,
perché dovrebbe essere preposto a compiti di vigilanza e controllo del
corretto utilizzo del sistema informatico gestito e utilizzato;

In secondo luogo, le attività di backup o disaster recovery
(regolamentate anche nel Codice Privacy), l’organizzazione dei flussi di rete,
la gestione dei supporti di memorizzazione o la semplice manutenzione
hardware comportano la possibilità per tali soggetti di agire sulle informazioni
critiche aziendali, attività tutte che ricadono nella definizione di “trattamento di
dati personali”, anche quando l’amministratore non consulti in chiaro tali
informazioni;

Le funzioni tipiche dell’amministrazione di un sistema sono specificatamente
richiamate all’interno dell’allegato B del Codice Privacy, laddove si prevede
l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle
credenziali di autenticazione. Si è voluto, quindi, assicurare un maggiore
controllo su chi di fatto si occupa dell’assolvimento degli adempimenti previsti
nello stesso allegato B, ovvero adempimenti che in genere sono affidati
all’amministratore di sistema: realizzazione di copie di sicurezza, custodia
delle credenziali, gestione dei sistemi di autenticazione e di autorizzazione,
ect.;

Infine, vi sono alcuni reati previsti dal codice penale per i quali il rivestire
la funzione di amministratore di sistema costituisce una circostanza
aggravante (abuso della qualità di operatore di sistema nell’accesso
abusivo a sistema informatico o telematico – art. 615 ter c.p. – o di frode
informatica – art. 640 ter c.p. -, oppure per le fattispecie di danneggiamento
di informazioni, dati e programmi informatici – artt. 635bis e ter c.p. – e di
danneggiamento di sistemi informatici e telematici – artt. 635-quater
e quinques).

  • Il titolare può designare facoltativamente uno o più responsabili del trattamento, solo tra soggetti che “per esperienza, capacità tecniche e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice). Si dovrà procedere, pertanto, con designazioni individuali, contenenti la descrizione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

  • Qualora la figura non sia individuabile all’interno dell’amministrazione il servizio potrà essere affidato in outsourcing.
    Tutto questo dovrà essere rispettato decorsi sei mesi dalla pubblicazione del provvedimento per tutti i trattamenti già in essere o che iniziano entro il 22.01.09, mentre per i trattamenti successivi, sarà obbligatorio sin da subito.