Nel panorama della protezione dei dati personali, poche figure rivestono un'importanza tanto strategica quanto controversa come quella dell'amministratore di sistema. Sebbene il Regolamento Generale sulla Protezione dei Dati (GDPR) non dedichi a questa figura alcun riferimento esplicito, la sua centralità nell'architettura della data protection rimane indiscussa. Ma per comprendere appieno il ruolo dell'amministratore di sistema occorre ripercorrere un'evoluzione normativa che affonda le radici nel diritto nazionale italiano e che, ancora oggi, mantiene piena efficacia giuridica.
Le origini: dal D.P.R. 318/1999 al codice privacy
La figura dell'amministratore di sistema compare per la prima volta nell'ordinamento italiano con il D.P.R. 318/1999, che disciplinava le misure minime di sicurezza per il trattamento dei dati personali. L'articolo 1, comma 1, lettera c) di tale decreto forniva una definizione precisa: l'amministratore di sistema era "il soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione". Questa prima definizione, pur limitata, riconosceva già la peculiarità di un ruolo che si colloca all'intersezione tra competenza tecnica e accesso privilegiato ai dati.
Con l'entrata in vigore del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), la figura dell'amministratore di sistema scompare dalle definizioni normative esplicite. Il legislatore del 2003 scelse di non includere questa figura tra quelle espressamente individuate dal Codice, pur mantenendo nell'Allegato B, il cosiddetto "Disciplinare tecnico in materia di misure minime di sicurezza", una serie di prescrizioni che di fatto si riferivano alle attività tipiche dell'amministratore di sistema: dalla custodia delle componenti riservate delle credenziali di autenticazione, alla realizzazione di copie di sicurezza (backup e recovery), alla gestione dei sistemi di autenticazione e autorizzazione.
Il provvedimento del Garante del 27 novembre 2008: una pietra miliare
L'assenza di una definizione normativa esplicita e la crescente consapevolezza dei rischi connessi al ruolo dell'amministratore di sistema spinsero il Garante per la protezione dei dati personali a intervenire organicamente sulla materia. Il 27 novembre 2008, l'Autorità emanò uno dei provvedimenti più significativi della storia della data protection italiana: le "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" (doc. web n. 1577499), pubblicato nella Gazzetta Ufficiale n. 300 del 24 dicembre 2008.
Questo provvedimento, successivamente modificato il 25 giugno 2009 (doc. web n. 1626595), rappresenta tuttora il punto di riferimento fondamentale per comprendere chi sia l'amministratore di sistema e quali obblighi gravino sui titolari del trattamento in relazione a questa figura. Il Garante osservava nelle premesse come "l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei c.d. 'amministratori di sistema'" rispondesse alla necessità di "promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella 'Società dell'informazione' e dei rischi a esse associati".
Una definizione estensiva e funzionale
Il Provvedimento del 2008 adotta una definizione ampia e funzionale di amministratore di sistema. Nelle "Considerazioni preliminari" si legge: "Con la definizione di 'amministratore di sistema' si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti". Tuttavia, il Garante precisa immediatamente che "ai fini del presente provvedimento vengono considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi".
Questa scelta di privilegiare il profilo funzionale rispetto a quello formale è particolarmente significativa. Non rileva tanto la qualifica attribuita al soggetto quanto piuttosto la concreta capacità di azione che questi ha sui sistemi informativi e sui dati personali in essi contenuti. Come osserva il Garante, gli amministratori di sistema "pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente 'responsabili' di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati".
Le FAQ allegate al Provvedimento chiariscono ulteriormente che nell'ambito della definizione rientrano "figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali". Restano invece esclusi "quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software".
La natura fiduciaria del ruolo e i rischi connessi
Il Provvedimento del 2008 evidenzia con particolare forza la natura fiduciaria del ruolo dell'amministratore di sistema. Questi dispone infatti di privilegi di accesso che gli consentono di intervenire su risorse del sistema informativo e su dati personali in modi che normalmente sarebbero preclusi agli utenti ordinari. Come osserva il Garante, "lo svolgimento delle mansioni di un amministratore di sistema comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti".
Questa capacità di accesso privilegiato si manifesta anche quando l'amministratore non consulti "in chiaro" le informazioni: attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano "un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali".
La rilevanza di questa figura è stata riconosciuta anche dal legislatore penale, che ha individuato particolari circostanze aggravanti per determinati reati informatici quando commessi con "abuso della qualità di operatore di sistema". Il riferimento è agli articoli 615-ter (accesso abusivo a sistema informatico o telematico), 640-ter (frode informatica), 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale (relativi ai delitti di danneggiamento di informazioni, dati, programmi e sistemi informatici), tutti modificati dalla legge 18 marzo 2008, n. 48.
Le prescrizioni del garante: un quadro articolato di obblighi
Il Provvedimento del 2008 (come modificato nel 2009) prescrive ai titolari del trattamento una serie articolata di misure e accorgimenti, fondate sull'articolo 154, comma 1, lettera c) del Codice Privacy, che attribuisce al Garante il potere di prescrivere "misure e accorgimenti, specifici o di carattere generale, che i titolari di trattamento sono tenuti ad adottare".
Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema non può avvenire in modo superficiale o incauto. Il Provvedimento impone che la designazione avvenga "previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza".
Questa prescrizione vale anche quando le funzioni siano attribuite nel quadro di una semplice designazione quale incaricato del trattamento ai sensi dell'articolo 30 del Codice Privacy: in tale caso, "il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili" ai sensi dell'articolo 29. Si tratta di qualità tecniche, professionali e di condotta – come chiariscono le FAQ – e non di "requisiti morali" in senso stretto.
Designazioni individuali e ambiti di operatività
La designazione deve essere individuale e deve recare "l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato". Questa prescrizione risponde all'esigenza di chiarezza e tracciabilità: il titolare deve sapere esattamente chi ha accesso privilegiato ai sistemi e con quali limiti. Come precisano le FAQ, è sufficiente specificare l'ambito di operatività "in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici".
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, unitamente all'elenco delle funzioni a essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Le FAQ chiariscono che per "estremi identificativi" si intende "il minimo insieme di dati identificativi utili a individuare il soggetto nell'ambito dell'organizzazione di appartenenza", che in molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza.
Conoscibilità per i lavoratori
Una prescrizione particolarmente significativa riguarda la trasparenza interna all'organizzazione. Quando l'attività degli amministratori di sistema riguarda "anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori", i titolari (pubblici e privati nella qualità di datori di lavoro) sono tenuti a "rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni".
Questa conoscibilità può essere assicurata attraverso l'informativa resa ai lavoratori ai sensi dell'articolo 13 del Codice Privacy, oppure tramite il disciplinare tecnico (previsto dal provvedimento del Garante n. 13 del 1° marzo 2007), o ancora mediante "altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore". L'obiettivo è garantire una forma di trasparenza interna che tuteli i lavoratori, permettendo loro di conoscere chi ha accesso ai loro dati personali.
Amministratori di sistema esterni in outsourcing
Particolare attenzione è dedicata al caso, sempre più frequente nell'era del cloud computing, in cui i servizi di amministrazione di sistema siano affidati a soggetti esterni (outsourcing). In tale ipotesi, il Provvedimento del 2009 ha integrato il testo originario prevedendo che "il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema".
La possibilità di attribuire al responsabile del trattamento il compito di dare attuazione alle prescrizioni relative alla conservazione degli elenchi e alla verifica delle attività è stata espressamente prevista dal Provvedimento di modifica del 2009, che ha aggiunto un punto 3-bis disponendo che "l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni [...] avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali".
Verifica periodica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, "in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti". Le FAQ precisano che "va verificato che le attività svolte dall'amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza". L'analisi dei log (di cui si dirà tra poco) può costituire uno dei criteri di valutazione dell'operato.
Registrazione degli accessi/log
La prescrizione più tecnicamente rilevante riguarda l'obbligo di adottare sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all'atto dell'accesso o tentativo di accesso da parte di un amministratore di sistema, o all'atto della sua disconnessione nell'ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software. Gli event records contengono usualmente i riferimenti allo username utilizzato, alla data e ora dell'evento (timestamp), una descrizione dell'evento (sistema di elaborazione o software utilizzato, tipo di evento come log-in, log-out o condizione di errore, linea di comunicazione o dispositivo terminale utilizzato).
Le FAQ chiariscono che l'obbligo riguarda sia i sistemi server che i sistemi client (intesi come "postazioni di lavoro informatizzate"). Nei casi più semplici, il requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, mentre in situazioni più complesse i titolari potranno adottare sistemi più sofisticati quali log server centralizzati. La registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea qualora goda di sufficienti garanzie di integrità.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate, e devono essere conservate per un congruo periodo, non inferiore a sei mesi. È importante sottolineare che il Provvedimento non chiede che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema, limitandosi agli eventi di accesso ai sistemi.
Esclusioni dall'ambito applicativo
Il Provvedimento del 2008 prevede alcune esclusioni dal proprio ambito applicativo. Sono esclusi "i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008" (art. 29 D.L. 25 giugno 2008, n. 112, convertito con modificazioni dalla legge 6 agosto 2008, n. 133; art. 34 del Codice Privacy; Provvedimento del Garante del 27 novembre 2008, doc. web 1571218).
Le FAQ chiariscono che "i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati". Rientrano in questa categoria, ad esempio, i trattamenti finalizzati alla gestione dell'autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili, sempre che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico.
Un'altra esclusione riguarda il "caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d'impresa": in tale ipotesi "non si applicheranno le previsioni relative alla verifica delle attività dell'amministratore né la tenuta del log degli accessi informatici".
La obbligatorietà del Provvedimento nell'era GDPR: una questione cruciale
L'entrata in vigore del Regolamento (UE) 2016/679 (GDPR) il 25 maggio 2018 ha profondamente modificato il panorama normativo della protezione dati in Europa. Il GDPR, come noto, non contiene alcun riferimento esplicito alla figura dell'amministratore di sistema, né la definisce o la disciplina direttamente. Questa circostanza ha generato incertezza sulla perdurante applicabilità del Provvedimento del Garante del 2008.
La sopravvivenza delle misure minime e il destino dell'Allegato B
Con il GDPR sono venute meno le cosiddette "misure minime di sicurezza" di cui all'Allegato B del Codice Privacy del 2003, sostituito dall'approccio risk-based e dal principio di accountability sanciti dall'articolo 32 GDPR. L'articolo 32 impone al titolare e al responsabile del trattamento di mettere in atto "misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio", tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Questa transizione da un sistema di misure rigidamente predefinite a uno basato sulla valutazione del rischio e sulla responsabilizzazione ha fatto sorgere il dubbio se il Provvedimento del 2008, che si richiamava espressamente all'Allegato B, potesse considerarsi ancora vigente.
L'articolo 22, comma 4, del D.Lgs. 101/2018: la chiave interpretativa
La risposta a questo interrogativo si trova nell'articolo 22, comma 4, del D.Lgs. 10 agosto 2018, n. 101, che ha adeguato il Codice Privacy italiano al GDPR. Tale disposizione prevede che "restano in vigore, in quanto compatibili con il regolamento e con il presente decreto, i provvedimenti del Garante adottati ai sensi dell'articolo 154, comma 1, lettere c), d), e) ed h), e comma 4, del codice, nel testo anteriore alla data di entrata in vigore del presente decreto".
Questa norma stabilisce quindi un criterio di compatibilità: i provvedimenti del Garante emanati prima del GDPR continuano ad applicarsi nella misura in cui siano compatibili con il Regolamento e con il Codice Privacy come novellato nel 2018. Il Provvedimento del 2008 sugli amministratori di sistema, emanato proprio ai sensi dell'articolo 154, comma 1, lettera c) del Codice Privacy, rientra a pieno titolo in questa categoria.
La compatibilità con il GDPR: un'analisi sistematica
La dottrina maggioritaria e la prassi applicativa riconoscono la piena compatibilità del Provvedimento del 2008 con il GDPR. Le ragioni sono molteplici e sistematiche.
In primo luogo, l'articolo 32 GDPR, dedicato alla sicurezza del trattamento, richiede espressamente che il titolare e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate, tra cui:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La nomina e il controllo degli amministratori di sistema si inseriscono perfettamente in questo quadro, rappresentando una concretizzazione delle misure organizzative volte ad assicurare la sicurezza del trattamento. La registrazione degli access log, la verifica periodica dell'operato, la designazione individuale con specificazione degli ambiti di operatività sono tutte misure che contribuiscono a garantire la riservatezza, l'integrità e la disponibilità dei dati personali, nonché la capacità di tracciare e ricostruire eventi critici.
In secondo luogo, il principio di responsabilizzazione (accountability) sancito dall'articolo 5, paragrafo 2, del GDPR impone al titolare del trattamento di essere "in grado di comprovare" il rispetto dei principi applicabili al trattamento dei dati personali. La documentazione dell'identità degli amministratori di sistema, delle loro funzioni, delle verifiche effettuate e dei log di accesso costituisce una forma tangibile di dimostrazione dell'adozione di misure adeguate e dell'esercizio del controllo sui soggetti che hanno accesso privilegiato ai sistemi.
In terzo luogo, l'articolo 29 GDPR, dedicato ai soggetti autorizzati al trattamento (figura che ha sostituito gli "incaricati" del Codice Privacy), prescrive che "chiunque agisca sotto l'autorità del titolare del trattamento o sotto quella del responsabile del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento", salvo che lo richieda il diritto dell'Unione o degli Stati membri. Gli amministratori di sistema, in quanto soggetti che operano sotto l'autorità del titolare o del responsabile e che hanno accesso, spesso privilegiato, ai dati personali, rientrano senza dubbio in questa categoria e devono essere adeguatamente istruiti e controllati.
Il consenso della prassi e delle autorità
La prassi applicativa italiana ha confermato la perdurante applicabilità del Provvedimento del 2008. L'Agenzia per l'Italia Digitale (AgID), nelle "Misure minime di sicurezza ICT per le pubbliche amministrazioni" del 2017 (ora in corso di aggiornamento), ha espressamente richiamato l'obbligo di registrazione delle azioni compiute da utenze amministrative, sebbene tale adempimento sia previsto per le organizzazioni maggiormente esposte a rischi. Analogamente, la Commission Nationale de l'Informatique et des Libertés (CNIL) francese, nella Practice Guide su "Securing Personal Data", include attività di logging degli accessi a dati personali tra le misure di sicurezza raccomandate.
Il Garante italiano, pur non avendo emanato un provvedimento specifico di conferma o aggiornamento, ha continuato a fare riferimento alla figura dell'amministratore di sistema in diversi interventi successivi al 2018, confermando implicitamente la validità delle prescrizioni del 2008. In particolare, nei provvedimenti sanzionatori e nelle verifiche preliminari, l'Autorità ha ripetutamente richiamato l'importanza di adottare misure adeguate per la gestione e il controllo degli amministratori di sistema, in coerenza con l'articolo 32 GDPR.
Questioni aperte e prospettive di evoluzione
Nonostante la generale riconoscibilità della validità del Provvedimento del 2008, permangono alcune questioni interpretative che meriterebbero chiarimenti da parte del Garante o del legislatore.
L'esclusione dei trattamenti amministrativo-contabili
Una prima questione riguarda l'esclusione dei trattamenti a fini amministrativo-contabili. Tale esclusione era fondata sull'articolo 34 del Codice Privacy (come modificato nel 2008), che prevedeva specifiche semplificazioni per questi trattamenti. Con il GDPR, l'articolo 34 è stato abrogato e le semplificazioni sono venute meno. Ci si chiede quindi se l'esclusione debba considerarsi ancora valida o se, al contrario, anche i trattamenti amministrativo-contabili debbano ora rispettare le prescrizioni del Provvedimento del 2008.
La questione non è di poco conto, poiché molte organizzazioni, soprattutto di piccole e medie dimensioni, effettuano prevalentemente trattamenti di questo tipo. Un orientamento restrittivo che imponesse l'applicazione integrale del Provvedimento anche a tali trattamenti potrebbe comportare oneri significativi. D'altra parte, l'approccio risk-based del GDPR suggerirebbe di mantenere l'esclusione solo per quei trattamenti che presentano rischi effettivamente modesti per i diritti e le libertà degli interessati, valutando caso per caso.
La conoscibilità degli amministratori di sistema esterni
Un'altra questione riguarda la conoscibilità degli amministratori di sistema in contesti di outsourcing e cloud computing. Il Provvedimento del 2008 impone la conoscibilità per i lavoratori quando gli amministratori di sistema trattano i loro dati personali. Ma come si applica questa prescrizione quando i servizi informatici sono erogati da fornitori esterni, magari multinazionali con infrastrutture distribuite a livello globale?
Il Provvedimento del 2009 ha previsto che il titolare o il responsabile esterno debbano conservare gli estremi identificativi delle persone fisiche preposte come amministratori di sistema, ma non chiarisce esplicitamente se tali soggetti debbano essere resi noti ai lavoratori allo stesso modo degli amministratori interni. In un contesto in cui il ricorso a soluzioni cloud è sempre più diffuso, e in cui gli amministratori di sistema possono trovarsi fisicamente in qualsiasi parte del mondo, garantire una effettiva conoscibilità rappresenta una sfida non banale.
Una soluzione pragmatica potrebbe consistere nel richiedere che nell'informativa resa ai lavoratori sia indicato che determinati servizi informatici sono gestiti da soggetti esterni (indicandone la ragione sociale e, possibilmente, la localizzazione), senza necessariamente identificare ogni singola persona fisica, salvo che ciò non sia tecnicamente possibile o richiesto per esigenze di controllo specifiche.
L'adeguatezza dei log di accesso nell'era dell'analisi forense
Una terza questione riguarda l'adeguatezza dei log di accesso previsti dal Provvedimento del 2008. Il Provvedimento richiede la registrazione degli eventi di log-in e log-out, ma non impone la registrazione delle attività effettivamente svolte dagli amministratori di sistema (comandi impartiti, dati consultati o modificati, ecc.). Questa scelta minimalista risponde all'esigenza di evitare una sorveglianza eccessivamente invasiva, ma potrebbe rivelarsi insufficiente per ricostruire eventuali violazioni di dati (data breach) o comportamenti illeciti.
In un contesto in cui l'articolo 32 GDPR richiede misure adeguate "al rischio", e in cui l'articolo 33 impone la notifica delle violazioni di dati all'autorità di controllo entro 72 ore, la capacità di ricostruire tempestivamente la dinamica di un incidente assume rilevanza cruciale. Potrebbe quindi sostenersi che, per trattamenti ad alto rischio o che coinvolgono categorie particolari di dati (ex dati sensibili), la sola registrazione degli accessi non sia sufficiente e debba essere integrata con forme più estese di logging delle attività, sempre nel rispetto del principio di proporzionalità e dei diritti dei lavoratori (in particolare, del divieto di controllo a distanza di cui all'articolo 4 della Legge 300/1970, come modificato dal D.Lgs. 151/2015).
Il ruolo dell'amministratore di sistema nell'architettura GDPR
Infine, rimane aperta la questione della qualificazione giuridica dell'amministratore di sistema nell'architettura del GDPR. È un soggetto autorizzato al trattamento ai sensi dell'articolo 29 GDPR? È un responsabile del trattamento ai sensi dell'articolo 28 (quando opera per conto di un fornitore esterno)? Oppure è una figura sui generis, dotata di uno status peculiare che non trova corrispondenza nelle categorie del Regolamento?
La risposta prevalente,e più convincente, è che l'amministratore di sistema sia da qualificare come soggetto autorizzato al trattamento (o "persona autorizzata", secondo la terminologia del D.Lgs. 101/2018). Tuttavia, la peculiarità dei suoi poteri e delle sue funzioni impone che l'autorizzazione sia accompagnata da istruzioni specifiche e dettagliate, da una formazione adeguata e da meccanismi di controllo rafforzati, proprio come previsto dal Provvedimento del 2008.
Quando l'amministratore di sistema opera nell'ambito di un contratto di outsourcing, il fornitore esterno sarà di norma qualificabile come responsabile del trattamento ai sensi dell'articolo 28 GDPR, e il contratto dovrà specificare, tra l'altro, gli obblighi relativi alla gestione degli amministratori di sistema, alla conservazione dei loro estremi identificativi e alla registrazione dei log, conformemente al Provvedimento del 2008.
Conclusioni: una figura ancora centrale nella Data Protection
A quasi vent'anni dalla sua prima apparizione nell'ordinamento italiano, e a più di sedici anni dal Provvedimento del Garante che ne ha delineato in modo organico il ruolo e le responsabilità, l'amministratore di sistema rimane una figura cruciale nell'ecosistema della protezione dei dati personali. Il GDPR, pur non menzionandola espressamente, ne ha implicitamente confermato la rilevanza attraverso le disposizioni sulla sicurezza del trattamento, sull'accountability e sulla gestione dei soggetti autorizzati.
Il Provvedimento del 27 novembre 2008 (modificato il 25 giugno 2009) conserva piena efficacia giuridica in virtù dell'articolo 22, comma 4, del D.Lgs. 101/2018, in quanto compatibile con il GDPR. Le sue prescrizioni, dalla valutazione delle caratteristiche soggettive nella designazione, alla registrazione degli access log, alla verifica periodica dell'operato, alla conoscibilità per i lavoratori, costituiscono una concretizzazione delle misure organizzative e tecniche che l'articolo 32 GDPR richiede di adottare per garantire un livello di sicurezza adeguato al rischio.
Nell'era della digitalizzazione pervasiva, dell'intelligenza artificiale, del cloud computing e della crescente complessità delle infrastrutture informatiche, gli amministratori di sistema rappresentano uno snodo nevralgico tra la dimensione tecnica e quella giuridica della data protection. La loro capacità di accedere privilegiatamente ai dati, di intervenire sui sistemi, di configurare misure di sicurezza e di ripristinare dati in caso di incidente li rende custodi essenziali, e potenzialmente pericolosi, della riservatezza e dell'integrità delle informazioni personali.
Per questa ragione, il titolare del trattamento non può limitarsi a designare formalmente un amministratore di sistema, ma deve selezionarlo con cura, formarlo adeguatamente, istruirlo con precisione sulle modalità di trattamento consentite, controllarne periodicamente l'operato e documentare tutte queste attività in conformità al principio di accountability. Solo così la figura dell'amministratore di sistema può assolvere alla funzione di garanzia per cui è stata concepita, contribuendo a costruire un ecosistema digitale sicuro, affidabile e rispettoso dei diritti fondamentali delle persone.
Dott. Roberto Pagano
Privacy Officer e Consulente della Privacy
Fondatore di WRP Srl, IusPrivacy.eu e co-founder cercolavoro.com, Data Protection Officer certificato esperto in legal tech in materia di protezione dei dati e IA