Nell'era del Gdpr, l'amministratore di sistema assume un ruolo centrale nella gestione dei dati aziendali e nella loro tutela.
L’amministratore di sistema, pur non essendo esplicitamente richiamato nel Gdpr, ha una considerevole responsabilità sui dati aziendali e riveste un ruolo particolare sul piano operativo, all’interno dell’impresa, in tema di privacy.
Per questa ragione, non può non conoscere tutti gli aspetti relativi alla privacy, in particolar modo quelli normativi.
Infatti, l’amministratore di sistema, nell’espletamento di mansioni prettamente tecniche, accede, in modo privilegiato o per caso fortuito, ad una notevole quantità di informazioni aziendali.
Il suo è un ruolo operativo, essenziale per la sicurezza dei sistemi informatici e telematici e delle banche dati, quindi ha specifiche competenze tecniche. A lui è affidato il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in base alle istruzioni ricevute) all’accesso, oltre al compito di vigilare sull’utilizzo dei sistemi stessi.
Può operare sia come interno in qualità di dipendente dell’azienda, sia come esterno (libero professionista o dipendente dell’impresa che offre servizi informatici). In ogni caso deve operare con grande attenzione per evitare rischi ed errori che potrebbero essere pericolosi per la tutela dei dati e per l’azienda stessa.
Sebbene il Gdpr non menzioni esplicitamente la figura dell'amministratore di sistema, alcune sue disposizioni ne implicano il ruolo e le responsabilità.
La definizione di amministratore di sistema si riscontra, invece, nei provvedimenti del Garante italiano. Quest’ultimo, con provvedimento del 27 novembre del 2008, definisce l’amministratore di sistema, in ambito informatico, la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Il provvedimento del garante prevede poi l’obbligo di registrazione degli accessi logici degli amministratori di sistema.
Se nel regolamento europeo sulla protezione dei dati personali (il Gdpr) non c’è un riferimento a tale figura, tuttavia al titolare del trattamento (e all’eventuale responsabile), in relazione all’articolo 32 del Gdpr (dedicato alla sicurezza del trattamento), spetta il compito di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Tra i suoi compiti rientra, appunto, quello di monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati, mantenendo aggiornati i supporti hardware e software. Se necessario, è tenuto a comunicare al titolare le attività da porre in essere per garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati.
È qui che si annidano i pericoli maggiori: l’amministratore di sistema deve mettere in campo tutta la sua professionalità per tutelare il sistema informatico da ogni rischio, evitando errori che potrebbero essere fatali.
L'articolo 32 del Gdpr, pur non menzionando esplicitamente l'amministratore di sistema, ne delinea implicitamente il ruolo e le responsabilità in materia di sicurezza dei dati, tra le misure di sicurezza tecniche da implementare al fine di garantire la sicurezza degli strumenti elettronici, quindi evitare un rischio, prevede la pseudonimizzazione e la cifratura dei dati, il ripristino dei dati in caso di incidenti fisici o tecnici e le verifiche periodiche delle misure tecniche e organizzative adottate.
L'amministratore di sistema gestisce e mantiene i sistemi informatici aziendali.
Il suo intervento è necessario, inizialmente, per l’installazione di tutti i sistemi e definire le configurazioni necessarie al loro corretto funzionamento; successivamente, la sua opera servirà per la verifica della corretta funzionalità, per eseguire gli aggiornamenti di hardware e software, per riparare eventuali malfunzionamenti.
Inoltre, al fine di evitare accessi indesiderati dall’esterno e, nelle organizzazioni più grandi, di gestire le autorizzazioni al personale, l’amministratore di sistema si occupa della procedura di autenticazione da parte degli utenti.
Per evitare il rischio della perdita e compromissione dei dati che possono poi comportare un data breach, tra i compiti dell’amministratore di sistema c’è anche quello di implementare le misure di sicurezza e i backup, progettando altresì le necessarie attività di supporto al disaster recovery.
Naturalmente, come detto, l’amministratore di sistema deve possedere il massimo delle competenze in materia di privacy.
Le responsabilità dell'amministratore di sistema richiedono competenze tecniche e giuridiche elevate, oltre a una comprovata esperienza, perciò l’amministratore di sistema deve rivestire un profilo di massima professionalità in modo da evitare rischi ed errori.
La scelta dell'amministratore di sistema è cruciale: è fondamentale individuare un professionista altamente qualificato e affidabile.
Per questo, l’affidamento dei compiti all’amministratore di sistema deve essere estremamente dettagliato. Infatti, la nomina deve circoscrivere, con precisione, i limiti delle sue responsabilità.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
Amministratore di Sistema: compiti e responsabilità del ruolo
Amministratore di Sistema Privacy: cosa prevede il regolamento europeo
Disaster Recovery Plan: la difesa migliore alla continuità aziendale
Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza delle informazioni da adottare nelle tue strategie di marketing e e-commerce.