Con il comunicato stampa del 14.01.2009, il Garante della Privacy ha richiamato l’attenzione sul ruolo degli amministratori di sistema, ponendo un termine di quattro mesi per mettere in atto specifiche misure e cautele che consentiranno di poter vigilare sul loro operato. Pare legittimo che, come il responsabile del trattamento e gli incaricati al trattamento di dati personali siano chiamati a rispondere al titolare del trattamento circa il diligente assolvimento delle loro responsabilità, anche l’amministratore di sistema sia tenuto a fare altrettanto. La curiosità è che, mentre “responsabile” e “incaricato” sono due figure espressamente previste dal Codice della Privacy, l’ “amministratore” non c’è più.
Infatti, se sotto la vecchia normativa della Legge 675/96, con il DPR 318/99 il Legislatore aveva definito l’amministratore di sistema come il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema o di un sistema di banca dati e di consentirne l’utilizzazione”, invece con il Dlgs 196/2003, (che ha abrogato la normativa precedente), dell’amministratore di sistema se ne è cancellata ogni traccia.
Eppure, nel provvedimento del 27.11.2008, contenente le misure che dovranno essere adottate entro i quattro mesi, con tono quasi informale il Garante così relaziona: “Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti”, e continuando aggiunge che, “pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati”.
L’interrogativo che ci poniamo è, come può una figura chiave come l’amministratore di sistema, sul quale ricadono responsabilità da far venire la pelle d’oca all’imprenditore, (basti pensare a compiti inerenti la preservazione dei dati aziendali a partire dal classico back-up), essere individuato “generalmente” in modo del tutto ibrido ?
Riteniamo decisamente che, al Titolo IV del Dlgs 196/2003 dove troviamo i “Soggetti che effettuano il trattamento”, come l’articolo 28 definisce la nozione di “titolare del trattamento”, l’articolo 29 quella di “responsabile del trattamento”, e l’articolo 30 quella dell’ “incaricato al trattamento”, debba necessariamente essere inserito anche la figura di “amministratore di sistema”, assegnando a questo un ruolo formale, ben chiaro e definito, per evitare annacquamenti delle responsabilità che questo deve assumersi, evitando altresì che la sua non menzione nel testo ufficiale di Legge finisca per svilire di fatto l’importante ruolo chiave che invece svolge nella quotidiana gestione dei dati.
Rivolgiamo dunque l’invito al Garante della Privacy di valutare seriamente questa tesi che Federprivacy intende portare avanti a favore dei propri associati che ricoprono l’incarico di amministratore di sistema, ma che quando sarà recepita, potrà essere di beneficio per tutti gli amministratori di sistema del nostro Paese, conferendo maggior ordine ed applicabilità alla nostra normativa sulla privacy.
Nel frattempo, raccomandiamo a tutti i titolari del trattamento, enti pubblici e aziende, di adoperarsi prontamente per adottare le nuove misure richieste in riferimento agli amministratori di sistema entro il termine di quattro mesi fissato dal Garante.