Vi ricordate della figura professionale nota come “Amministratore di Sistema”? Nel 2008, il Garante per la protezione dei dati personali intervenne con un provvedimento specifico per disciplinarne il ruolo e le misure necessarie. Tuttavia, la nostra esperienza consulenziale evidenzia che tali misure non sono sempre rispettate. Le aziende spesso trascurano di definire chiaramente i confini delle attività degli Amministratori di Sistema (di seguito anche solo AdS), sia interni che esterni.
Recentemente, il caso RealMaps, insieme alle nuove misure previste dalla direttiva NIS2, ha riportato l’attenzione su questa funzione strategica. Questo provvedimento sottolinea l’importanza di una gestione rigorosa degli accessi ai sistemi informatici e di una puntuale osservanza delle misure di sicurezza, con particolare attenzione al ruolo degli Amministratori di Sistema.
Indice
La Piattaforma RealMaps
Realmaps era una piattaforma digitale utilizzata da agenzie immobiliari per aggregare informazioni da fonti pubbliche e semi-pubbliche, come il catasto e vari registri. Grazie a queste informazioni, la piattaforma creava una banca dati di immobili potenzialmente in vendita o già venduti, associabili a persone fisiche.
Le agenzie immobiliari avevano accesso a una mappa interattiva degli immobili, con i contatti dei proprietari per inviare offerte e comunicazioni commerciali. Il software “Automatch” consentiva di incrociare le informazioni e generare un pacchetto di dati per le agenzie clienti.
L’istruttoria del Garante è stata avviata a seguito di numerosi reclami da parte degli utenti, che lamentavano comunicazioni promozionali da agenzie che avevano acquisito i loro dati di contatto tramite RealMaps S.r.l.
La Sanzione del Garante
Durante le indagini, il Garante ha riscontrato molteplici violazioni, tanto che probabilmente la sanzione di € 100.000 è quasi bassa. Tra le violazioni si annoverano la mancanza di liceità e trasparenza, assenza del DPO e assenza del Registro dei trattamenti e un errato inquadramento dei ruoli di titolare e responsabile, culminando nella violazione del principio di accountability.
Le misure adottate, in particolare riguardo agli Amministratori di Sistema, risultavano inadeguate.
Le Violazioni di RealMaps sull’accountability e sulle misure dell’Ads
La banca dati di RealMaps, collegata al software “Automatch”, consentiva accessi non solo al fornitore esterno di servizi ICT, ma anche a dipendenti ed ex dipendenti senza alcun contratto in essere. Durante le ispezioni, il Garante ha rilevato accessi da soggetti non identificabili, violando l’art. 2-quaterdecies del Codice, che richiede una formale attribuzione di funzioni e compiti.
Inoltre, venivano utilizzati account generali, condivisi tra più utenti, il che comprometteva l’identificabilità degli accessi. Questo aspetto ha messo in discussione l’applicazione delle misure previste dal provvedimento sugli Amministratori di Sistema, considerato ancora valido come linea guida.
Cosa Prevede il Provvedimento del 2008
Di seguito i principali contenuti del Provvedimento del Garante del 2008, come meglio precisati nelle FAQ esplicative.
Chi sono gli AdS
Gli Amministratori di sistema nelle loro consuete attività sono, in molti casi, concretamente incaricati di operazioni che possono comportare elevate criticità in termini di protezione dei dati personali.
Gli “amministratori di sistema” sono le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
Sono assimilate anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono(p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.
Quali sono gli adempimenti per il Titolare
I Titolari del trattamento, dunque, sono tenuti a prestare la massima attenzione ai rischi e alle criticità implicite all’affidamento degli incarichi di Amministratore di sistema.
In quest’ottica, il Titolare del trattamento, prima di attribuire le funzioni di Amministratore di sistema, deve valutare l’esperienza, la capacità e l’affidabilità del soggetto designato, il quale deve impegnarsi a sua volta al rispetto delle norme in materia di protezione dei dati personali.
Nell’atto di designazione ad Amministratore di sistema, che dovrà essere in ogni caso individuale, il Titolare dovrà elencare nel dettaglio gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnatogli. È, inoltre, necessario che il Titolare predisponga un documento interno (da mantenere aggiornato e disponibile in caso di accertamenti anche da parte dell’Autorità) in cui vengano indicati gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi rispettivamente attribuite.
Il Titolare del trattamento (o il Responsabile) è in particolare tenuto a verificare l’operato dell’Amministratore di sistema con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Il punto maggiormente critico è la gestione dei Log.
Infatti, il titolare deve adottare sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono infine comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Qual’è la lezione del provvedimento RealMaps
Il provvedimento RealMaps rappresenta più di una sanzione: è un segnale chiaro di come l’inosservanza di regole “storiche”, come quelle sugli Amministratori di Sistema, possa ancora oggi generare impatti significativi. In un contesto in cui la digitalizzazione si accompagna a nuove normative come la NIS2, diventa essenziale non solo aggiornare i sistemi, ma anche maturare una vera cultura della responsabilità e della trasparenza.
Le aziende non possono più permettersi di trattare l’AdS come un semplice ruolo tecnico: si tratta di una funzione strategica, cruciale per la tenuta dell’intero sistema di governance della privacy. È tempo di superare l’approccio formale e abbracciare una compliance sostanziale, dove ogni accesso conta, e ogni responsabilità è tracciabile.
Una check list per valutare gli Amministratori di Sistema
Il DPO ovvero l’Ufficio Privacy devono preoccuparsi, quindi, di inserire nei propri controlli il corretto rispetto delle misure previste per gli amministratori di sistema. Di seguito una possibile check list di controllo.
