L’amministratore di sistema è una figura fondamentale all’interno di un sistema di gestione della privacy. Tuttavia, il suo ruolo e gli obblighi associati sono spesso fraintesi, portando a errori e incomprensioni.
Se gestisci un’impresa di assistenza informatica, ti sarà sicuramente capitato di affrontare le cosiddette “nomine degli amministratori di sistema”. I clienti, su consiglio dei loro consulenti privacy, richiedono spesso la firma di documenti per nominare un amministratore di sistema. In questi casi, se ne vedono di tutti i colori: alcuni vogliono nominare l’intera società di assistenza informatica, altri il legale rappresentante, e altri ancora i singoli dipendenti. Tuttavia, molti non sanno davvero cosa significhi essere un amministratore di sistema o quali obblighi questo ruolo comporti. L’importante, per loro, è avere un documento firmato da tenere nel cassetto, perché “è obbligatorio per il GDPR!”.
L’amministratore di sistema nel GDPR
Prima di tutto, è importante chiarire un punto fondamentale: il GDPR non menziona mai il ruolo dell’amministratore di sistema. La necessità di una nomina formale di questa figura è una peculiarità tutta italiana, non derivante dal GDPR o da una legge dello Stato, ma dal provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008.
Dal 2008, molte cose sono cambiate, sia in termini di sicurezza informatica che di normative sulla privacy. L’introduzione del GDPR è stata la novità più significativa, sostituendo gran parte della normativa precedente. Questo ci porta a chiederci: il provvedimento sull’amministratore di sistema è ancora valido nell’era del GDPR?
Chi è l’amministratore di sistema
L’amministratore di sistema (AdS) è una figura professionale dedicata alla gestione e alla manutenzione di sistemi informatici con cui vengono effettuati trattamenti di dati personali. La definizione di amministratore di sistema include non solo i system administrator in senso stretto, ma anche gli amministratori di rete (network administrator) e i gestori di database (database administrator). Anche chi gestisce un software complesso, come un ERP aziendale, può essere considerato un amministratore di sistema secondo il Garante Privacy.
Al contrario, chi interviene solo occasionalmente sui sistemi, per risolvere guasti o malfunzionamenti, non rientra in questa definizione. Nell’ambito dell’outsourcing dei servizi informatici, ad esempio, un tecnico che accede ai sistemi aziendali solo su chiamata per interventi specifici non può essere considerato un amministratore di sistema.
Diversamente, chi, in forza di un contratto di MSP (Managed Service Provider), può accedere in qualsiasi momento ai sistemi informatici di un’azienda cliente e dispone di credenziali amministrative, è a tutti gli effetti un amministratore di sistema.
Un punto cruciale da chiarire è che solo una persona fisica può essere nominata amministratore di sistema, mai una persona giuridica. Pertanto, se ricevi una richiesta di nomina indirizzata alla tua società di servizi informatici, puoi rifiutarla perché errata.
Le funzioni dell’amministratore di sistema
L’amministratore di sistema svolge funzioni tipiche, come gestire i sistemi di autenticazione, resettare password, assegnare autorizzazioni, effettuare back-up e gestire aggiornamenti. Tuttavia, essere nominati amministratori di sistema non implica automaticamente l’obbligo di svolgere tutte queste attività. Al contrario, chi è incaricato di tali attività deve essere nominato amministratore di sistema.
Se accetti una nomina come amministratore di sistema, è fondamentale fare attenzione. La lettera d’incarico deve specificare le attività effettivamente assegnate e i sistemi o database di cui sarai responsabile. Ad esempio, se il contratto di servizi con un cliente non prevede la gestione dei back-up, la nomina non può obbligarti a svolgere questa attività. Allo stesso modo, se fra i tuoi compiti c’è la gestione del server di posta elettronica ma non del server su cui è installato il software gestionale, anche questo deve essere precisato nella lettera di nomina.
Il provvedimento del Garante richiede un’elencazione precisa degli ambiti operativi consentiti in base al profilo di autorizzazione, evitando descrizioni vaghe o insufficienti.
Gli adempimenti obbligatori legati alla funzione di AdS
Il provvedimento del 27 novembre 2008 impone ai titolari del trattamento che si avvalgono di uno o più amministratori di sistema di rispettare una serie di obblighi. Vediamoli nel dettaglio.
Designazione formale
Il primo obbligo è la designazione formale degli amministratori di sistema. Il Garante richiede che questi vengano individuati e nominati formalmente. L’organizzazione deve mantenere un elenco con nome e cognome degli amministratori di sistema e le rispettive funzioni, da mettere a disposizione del Garante in caso di controlli.
Ciascun amministratore di sistema deve essere nominato con una lettera formale, che specifichi le operazioni autorizzate e le istruzioni da seguire. Queste lettere devono essere conservate, e il titolare del trattamento deve poter dimostrare di averle consegnate.
La scelta degli amministratori di sistema deve ricadere su persone dotate di capacità, affidabilità ed esperienza adeguate al ruolo.
Registrazione dei log di accesso
Il Garante impone al titolare del trattamento di registrare e conservare per almeno sei mesi gli access log degli AdS ai sistemi di elaborazione e agli archivi elettronici. I log devono contenere i riferimenti temporali (timestamp) e la descrizione dell’evento, come log-in, log-out, tentativi di accesso falliti, username e dispositivo da cui è stato effettuato l’accesso. Non è invece necessario che i log registrino le attività compiute sui dati, come cancellazioni, download o modifiche.
Completezza e inalterabilità dei log
I log devono essere completi, cioè contenere tutti gli eventi di accesso effettuati dagli amministratori di sistema, e devono essere inalterabili. Tuttavia, garantire l’inalterabilità dei log può risultare complicato.
Secondo il Garante, i sistemi operativi comunemente utilizzati offrono strumenti per mantenere l’integrità dei log. Nelle FAQ al provvedimento del 2008, il Garante afferma che nella maggior parte dei casi, il requisito dell’inalterabilità può essere ragionevolmente soddisfatto con la strumentazione software in dotazione e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. Soltanto per sistemi più complessi, potrebbe essere necessario adottare log server centralizzati e “certificati”.
Dal punto di vista pratico, però, questo approccio presenta delle criticità. Se gli amministratori di sistema possono cancellare o modificare i log, questi perdono la loro utilità per il controllo delle loro attività.
È vero che i sistemi operativi come Windows, MacOS e Linux registrano di default gli access log. Tuttavia, un soggetto esperto è in grado di cancellarli con facilità. La loro presenza resta di fondamentale importanza per scoprire eventuali errori ma la loro utilità in termini di controllo dell’operato degli AdS è molto bassa. Infatti, un amministratore di sistema che intenda compiere attività illecite sui dati, ad esempio scaricarli su un dispositivo privato, può cancellare con facilità i log dopo aver effettuato l’accesso.
L’esportazione periodica su dispositivi non riscrivibili, suggerita dal Garante, non sembra particolarmente utile allo scopo di garantire l’integrità degli access log. Infatti, un amministratore di sistema che voglia coprire le proprie tracce dopo il compimento di attività illecite, lo farà immediatamente, prima di procedere all’esportazione.
L’unico modo per garantire l’inalterabilità dei log e quindi l’efficacia di questa misura di sicurezza sembra quindi essere la gestione centralizzata, che però il Garante richiede soltanto per i casi più complessi.
Verifica delle attività
Le attività degli amministratori di sistema devono essere sottoposte a verifica, almeno annuale. In particolare, il provvedimento richiede che si verifichi “la rispondenza dell´operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza“.
Anche questa prescrizione risulta vaga e difficile da tradurre in un adempimento concreto. Nelle FAQ al provvedimento, il Garante precisa che rientrano nell’oggetto di verifica anche gli acces log, che dovrebbero consentire di “verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…)“.
Personalmente, ritengo che le frequenze, la durata e gli orari degli accessi effettuati dagli AdS non consentano di rilevare anomalie, soprattutto al giorno d’oggi, quando è normale collegarsi ad un sistema da remoto e ad ogni orario del giorno. Inoltre, appare contraddittoria la richiesta di conservare i log per almeno 6 mesi ma di effettuarne la verifica almeno una volta l’anno. In pratica, significa che metà dei log registrati non saranno sottoposti a verifica.
Una cosa tuttavia appare chiara: a condurre le verifiche dell’attività dell’amministratore di sistema non può essere lui stesso. Ciò rende la prescrizione molto difficile da attuare nelle realtà di piccole dimensioni, che affidano la gestione informatica dei propri sistemi in outsourcing. Queste dovrebbero infatti dotarsi di una seconda società informatica, che si occupi di verificare i log generati dalla prima.
Comunicazione ai dipendenti
Esiste un ultimo adempimento imposto dal provvedimento del 27 novembre 2008 e spesso dimenticato. Quando gli amministratori di sistema possono accedere, anche soltanto in modo accidentale, ai dati personali dei lavoratori dipendenti, questi ultimi devono essere informati di questa eventualità e della identità di coloro che possono visualizzare i loro dati. Questa informazione può essere comunicata nell’informativa privacy da consegnare ai dipendenti.
Come nominare un amministratore di sistema in outsourcing
Se la gestione dei servizi informatici è affidata in outsourcing a una società, ecco come procedere correttamente alla nomina degli amministratori di sistema:
- La società che gestisce l’informatica deve essere nominata come responsabile del trattamento, stipulando un Data Processing Agreement (DPA) ai sensi dell’art. 28 del GDPR.
- Il DPA deve prevedere l’obbligo per il fornitore di mantenere un elenco delle persone fisiche che hanno accesso con privilegi amministrativi ai sistemi informatici del cliente.
- Il contratto di servizi o il DPA deve includere l’obbligo per il fornitore di registrare i log di accesso degli amministratori di sistema, conservarli per almeno sei mesi, garantirne completezza e inalterabilità, infine consegnarli al cliente.
- Il cliente titolare del trattamento deve verificare, almeno una volta all’anno, il corretto comportamento della società di gestione informatica.
Quando le prescrizioni sull’amministratore di sistema non sono necessarie
Gli adempimenti descritti richiedono un notevole impegno da parte delle imprese, che deve essere giustificato dalla reale utilità nella protezione dei dati personali.
Il Garante ha escluso l’applicabilità delle prescrizioni sugli amministratori di sistema per tutti quei trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani. In realtà, ad escludere questi trattamenti da tutta una serie di obblighi in ambito privacy era stato il D.L. 25 giugno 2008, n. 112, all’art. 29, oggi abrogato.
Anche in questo caso, non è chiaro quali trattamenti possano ritenersi esclusi dall’applicabilità del provvedimento. Se infatti sono piuttosto definiti i trattamenti effettuati per finalità contabili, non altrettanto può dirsi per quelli con finalità amministrative. Ad esempio, all’interno dei dati trattati da una struttura sanitaria per finalità amministrative potrebbero esserci anche dati ad alto rischio relativi alla salute dei pazienti.
Pertanto, anche alla luce dell’avvento del GDPR e del principio di accountability, ha più senso considerare l’esclusione dell’applicabilità del provvedimento sull’amministratore di sistema in base al profilo di rischio, piuttosto che alle finalità dei trattamenti.
Il provvedimento sull’amministratore di sistema è ancora valido dopo il GDPR?
Sebbene molti ritengano che il provvedimento del 2008 sia ancora valido con l’avvento del GDPR, è possibile che debba essere reinterpretato alla luce del principio di accountability.
Secondo questo principio, non esistono più obblighi minimi di sicurezza validi per tutti. Ogni organizzazione deve adottare misure di sicurezza adeguate in base alle proprie dimensioni, al budget e al profilo di rischio. Pertanto, non può essere il Garante a stabilire quali misure siano adeguate; la responsabilità ricade sul titolare del trattamento. Questo principio deve applicarsi anche alle misure di sicurezza prescritte per gli amministratori di sistema, in particolare la registrazione e verifica dei log.
Il principio su cui si basa il provvedimento del 2008 è ancora valido: gli amministratori di sistema, con ampie possibilità di azione su database e dati personali, necessitano di maggiore attenzione e controllo. Questo è particolarmente vero per i dati ad alto rischio. In questi casi, quando possibile, è importante dotarsi di un sistema centralizzato di gestione dei log, che registri non solo gli access log, ma tutte le attività sui dati.
Diversamente, per una piccola o media impresa che non tratta dati particolarmente rischiosi, bisogna chiedersi se la raccolta dei soli access log generati dai sistemi operativi e la loro esportazione periodica su supporti non riscrivibili possano essere utili in termini di aumento della sicurezza informatica e controllo degli amministratori di sistema. Se la risposta è negativa, allora non bisognerebbe sentirsi costretti a farlo solo perché così è scritto nel provvedimento del 2008. Imporre misure di sicurezza inutili e non adatte allo scopo non soltanto sarebbe contrario al principio di accountability ma rischierebbe altresì di portare via tempo, budget ed energie ad adempimenti più importanti per la cybersecurity.
Conclusioni
L’amministratore di sistema rimane una figura cruciale per la sicurezza e la gestione dei dati personali all’interno di qualsiasi organizzazione. Nonostante l’avvento del GDPR abbia introdotto nuove norme e principi, come quello di accountability, il ruolo dell’AdS continua a essere regolato da disposizioni specifiche, come il provvedimento del Garante del 2008.
Tuttavia, l’applicazione di queste normative deve essere calibrata sulla base delle reali esigenze di sicurezza dell’organizzazione, considerando il profilo di rischio e le risorse disponibili. Per le aziende che gestiscono dati ad alto rischio, le misure di controllo sugli amministratori di sistema devono essere rigorose e prevedere strumenti avanzati come la gestione centralizzata dei log. Al contrario, per le piccole e medie imprese a basso rischio, un approccio più semplificato, ma comunque adeguato, potrebbe essere più appropriato.
In definitiva, la chiave è trovare un equilibrio tra conformità normativa e praticità, senza preoccuparsi solo della forma ma piuttosto assicurando che le risorse siano utilizzate in modo efficace per proteggere i dati, senza appesantire inutilmente i processi aziendali. L’amministratore di sistema, se correttamente inquadrato e monitorato, può rappresentare un pilastro fondamentale nella strategia di sicurezza di qualsiasi impresa, grande o piccola che sia.
