Valutazione delle caratteristiche soggettive
In relazione al soggetto qui in esame un primo fondamentale obbligo posto dal Garante a carico del titolare di trattamento è che l'Amministratore di sistema vada, innanzitutto, ben scelto. Più in specifico, il documento in esame evidenzia che prima di attribuire le funzioni proprie di quella figura ad una determinata persona occorre verificare che essa possieda "esperienza, "capacità" e "affidabilità" in modo tale che egli sia in grado di "fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza".

La formula utilizzata, peraltro, è la stessa prevista dall'articolo 29, comma 2, del D.Lgs. n. 196/2003 a proposito dell'attribuzione, in genere, del ruolo di responsabile di trattamento.

Il Garante non chiarisce (come d'altronde il Codice) profili specifici di tali "qualità". Un'interpretazione di massima di tali termini fa qui ritenere che il potenziale Amministratore di sistema debba:

Al di là dei profili specifici di contenuto è da sottolineare ai titolari trattamento che tale valutazione preliminare all'attribuzione di ruolo va svolta (per come ora imposto dal Garante) anche qualora si intenda attribuire all'Amministratore di sistema una qualifica, a fini di privacy, di "incaricato di trattamento" (2).

__________
Nota:
(2) Art. 4, comma 1, lett. h, del Codice: "Le persone fisiche autorizzate a compiere operazioni di trattamento del titolare o dal responsabile" o ancora art. 30, comma 1: "Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite".

Designazioni individuali
Ulteriore prescrizione riguarda la natura individuale dell'attribuzione del ruolo qui analizzato.

In sede di commento si può qui dire che ciò è da intendere, ai limitati fini della privacy e con effetti giuridici ad essa attinenti, nel senso che si debba individuare come Amministratore di sistema solo una persona fisica.

Considerando le numerose prassi in atto in cui molte Imprese e Studi professionali agiscono, per la supervisione e per la manutenzione del loro sistema informativo, affidandosi a Società esterne, è necessario che i titolari di trattamento svolgano un'individuazione, all'interno delle realtà organizzative che forniscono i predetti servizi, del soggetto (o, nei casi complessi, dei soggetti) che assume formalmente il ruolo in esame.

La designazione deve anche precisare, come chiarisce il documento, in modo analitico "gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato".

Verifica delle attività
Il Garante pone, poi, degli ulteriori obblighi, da valutare alquanto impegnativi per la maggior parte delle Imprese e degli Studi professionali.

Una prima attiene all'obbligo di effettuare, con cadenza almeno annuale, un'"attività di verifica" nei confronti del soggetto-Amministratore di sistema atta a "controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti".

Tale prescrizione non risulta, obiettivamente, di facile applicazione: come può un'Impresa o uno Studio professionale mettere in atto un controllo di tale complessità? Evidentemente l'unica soluzione è quella di affidare all'esterno e ad ulteriori soggetti i profili più strettamente tecnici della verifica annuale.

Registrazione degli accessi
Analoga difficoltà per Imprese e Studi professionale si rinviene nel dover garantire una seria applicazione di quanto richiesto dal Garante a proposito degli accessi logici dell'Amministratore di sistema.

Su tale tematica l'Autorità impone che si attuino "sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)" degli amministratori di sistema rispetto "a sistemi di elaborazione e agli archivi elettronici".

Il sistema, come chiarito dal Garante, deve garantire "registrazioni (access log)" aventi "caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste".

Tale meccanismo deve consentire di archiviare "i riferimenti temporali" e contenere "la descrizione dell'evento che le ha generate", mentre le registrazioni stesse "devono essere conservate per almeno sei mesi".

Anche su questo profilo di natura strettamente specialistica e tecnica valgono le considerazioni, in precedenza espresse, a proposito del controllo delle attività dell'Amministratore di sistema: non è, evidentemente, possibile che la stessa Organizzazione (Impresa o Studio Professionale) possa effettivamente porre e utilizzare un tale sistema di registrazione.

Solo risorse professionali esterne, anche in questo caso diverse dall'Amministratore di Sistema, sono in grado di progettare, di utilizzare e di "manutenere" un tale sistema di registrazione.

Elenco degli amministratori di sistema
La Società o il singolo Professionista, titolare del trattamento della specifica realtà organizzativa, debbono, inoltre, curare alcuni profili di carattere formale.

In tal senso, secondo il Provvedimento in esame, essi devono formalizzare, in uno dei documenti di cui si dirà, gli estremi identificativi delle persone fisiche che siano Amministratori di sistema, precisando, altresì, l'elenco delle funzioni ad essi attribuite.

Quali i documenti interni utilizzabile a questo fine? Il primo e più idoneo è, secondo il Garante, il Documento programmatico sulla sicurezza (DPS).

Nei casi in cui il titolare non sia tenuto a redigerlo, quelle informazioni andranno annotate in un altro documento interno, da individuare in assoluta discrezionalità da parte del singolo titolare (ma che, evidentemente, sia rispondente allo scopo di documentazione ufficiale dell'adempimento in esame) da mantenere aggiornato e disponibile in caso di accertamenti anche svolti dall'Autorità sui dati personali.

Un'ulteriore prescrizione è connessa al trattamento di informazioni di carattere personale di lavoratori qualora, evidentemente, sia presente una figura di Amministratore di sistema. In tale ipotesi i titolari privati sono tenuti a rendere nota o conoscibile, nell'ambito delle proprie Organizzazioni, l'identità degli Amministratori ai lavoratori-interessati.

La modalità concreta è, in qualche misura, lasciata alla singola realtà organizzativa. Lo strumento consigliabile è quello dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro. Un ulteriore ausilio, funzionale allo scopo, può essere il disciplinare interno la cui adozione a fini di trasparenza dei controlli lavorativi sui lavoratori è prevista dal Provvedimento del Garante n. 13/2007.

L'Autorità, comunque, apre alla possibilità di impiegare anche altri "tool" quali ad esempio, l'intranet aziendale o ordini di servizio a circolazione interna.

Ulteriore profilo formale di prescrizione, peraltro alquanto superflua, alla luce dell'elenco di cui si è detto prima, è che nell'ipotesi "di servizi di amministrazione di sistema affidati in outsourcing, il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema".