Brocardi.it - L'avvocato in un click! CHI SIAMO   CONSULENZA LEGALE

Articolo 2 quaterdecies Codice della privacy

(D.lgs. 30 giugno 2003, n. 196)

[Aggiornato al 30/12/2019]

Attribuzione di funzioni e compiti a soggetti designati

Dispositivo dell'art. 2 quaterdecies Codice della privacy

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica

e ricevi la tua risposta entro 5 giorni a soli 29,90 €

Nel caso si necessiti di allegare documentazione o altro materiale informativo relativo al quesito posto, basterà seguire le indicazioni che verranno fornite via email una volta effettuato il pagamento.

SEI UN AVVOCATO?
AFFIDA A NOI LE TUE RICERCHE!

Sei un professionista e necessiti di una ricerca giuridica su questo articolo? Un cliente ti ha chiesto un parere su questo argomento o devi redigere un atto riguardante la materia?
Inviaci la tua richiesta e ottieni in tempi brevissimi quanto ti serve per lo svolgimento della tua attività professionale!

Consulenze legali
relative all'articolo 2 quaterdecies Codice della privacy

Seguono tutti i quesiti posti dagli utenti del sito che hanno ricevuto una risposta da parte della redazione giuridica di Brocardi.it usufruendo del servizio di consulenza legale. Si precisa che l'elenco non è completo, poiché non risultano pubblicati i pareri legali resi a tutti quei clienti che, per varie ragioni, hanno espressamente richiesto la riservatezza.

Alessandro C. chiede
giovedì 20/02/2020 - Lombardia
“Buongiorno,
vi contatto in materia di GDPR e nomina amministratore di sistema aziendale.
Ricopro, da alcuni mesi, il ruolo di IT manager presso una società di servizi in Milano.
A distanza di qualche mese dall'assunzione, il Data Protection Officer che collabora colla nostra azienda mi ha sottoposto un modello di nomina quale persona designata per ricoprire il ruolo di amministratore di sistema (che allego e che il mio predecessore non ha mai firmato).

Ora, dal momento che non ho ricevuto alcuna formazione a riguardo, vorrei sapere se:
1. il modello allegato risponde agli obblighi di legge (e quali sono questi obblighi) in materia di trattamento dei dati personali o è troppo a favore della azienda ? mi indicate quali punti del documento posso/devo negoziare ?
2. posso richiedere un compenso integrativo come soggetto designato che sottoscrive la nomina oppure devo rassegnarmi e accettare l'incarico a titolo gratuito ?
3. il modello può essere integrato con qualche formula che scarica me da eventuali danni derivanti da attività malevole che io potrei non riuscire a controllare (perché assente/in ferie/non in grado di accedere al sistemi aziendale e svolgere disaster recovery) ?
4. la nomina deve essere firmata da un solo soggetto oppure da tutti i membri del reparto IT che svolgono attività sistemiche (e trattano backup, dati etc.) ?
5. dal momento che la società sta incorporando un ramo d'azienda, all'interno della quale la gestione IT è ora demandata ad un consulente esterno (che non ha sottoscritto alcuna nomina di amministratore ma che lì tratta dati aziendali), come dovrà essere inquadrato questo soggetto (presupponendo che a incorporazione completa, e a seguito della mia nomina, le sue attività saranno notevolmente ridotte) ?
6. esiste una copertura assicurativa che mi tutela nell'esercizio della nomina ?”
Consulenza legale i 02/03/2020
Per rispondere ai quesiti oggetto del presente parere è necessario definire la figura dell’amministratore di sistema e richiamare i relativi provvedimenti del Garante della Privacy nonché la normativa rilevante di settore.

L’amministratore di sistema è una figura professionale che approfondisce le competenze di un tecnico hardware e software soprattutto per quanto riguarda le caratteristiche delle architetture informatiche e, in particolare, l’utilizzo e la condivisione di grandi quantità di dati attraverso le reti di comunicazione.
Si occupa quindi essenzialmente di ogni tipo di rete informatica, comprese quelle a cui non si accede via web, come le reti intranet e implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte degli utenti, curando interventi di conservazione dei dati attraverso debite soluzioni di “backup” e progettando le attività di supporto al “disaster recovery”.

In assenza di definizioni normative e tecniche condivise, l’amministratore di sistema viene definito nel Provvedimento del Garante della privacy del 27 novembre 2008 come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali
Da tale definizione si evince che l’amministratore di sistema durante l’espletamento dei suoi incarichi ha un considerevole impatto di responsabilità sui dati aziendali e riveste sul piano operativo un ruolo particolare importante all’interno dell’azienda.
Nel nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) non è presente un diretto riferimento alla figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati. Tuttavia, tale figura può intendersi implicitamente richiamata, in alcune norme laddove al titolare del trattamento e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32 del predetto GDPR).

L’amministratore di sistema era già previsto nell’art. 1, comma 1, lett. c) d.P.R. 318/1999 (“soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”).
La figura non è stata prevista dal codice del 2003, ma il Garante per la Protezione dei Dati Personali ha emesso in data 27 novembre 2008 il Provvedimento Generale denominato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema con l’intento di promuovere presso Titolari e pubblico la consapevolezza della delicatezza del ruolo di “amministratore di Sistema“, richiamando in particolar modo l’attenzione sulla necessità di prestare la massima attenzione ai rischi incombenti sui dati personali e alle criticità relative alle misure di sicurezza adottate connesse allo svolgimento di tale attività. In particolare, il provvedimento del Garante della privacy del 27 novembre 2008 attribuiva all’amministratore di sistema il ruolo di custode delle componenti riservate delle credenziali di autenticazione, in relazione all’Allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del previgente Codice Privacy (d.lgs. 196/2003).
A seguito dell’abrogazione di tale Allegato B, si deve fare riferimento ai concetti presenti all’interno del nuovo Regolamento Europeo UE 2016/679 (il GDPR), in particolar modo, accountability, privacy by design e privacy by default.

L’art. 32 del Regolamento descrive delle misure altamente tecniche – la pseudonimizzazione e la cifratura dei dati personali; la capacita di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacita di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento – che implicano la collaborazione di personale specialistico, esperto nella gestione e nella trattazione informatica dei dati personali. Non solo è necessario che l’intervento di tale personale avvenga sin dalle fasi di progettazione e protezione dei dati – la cosiddetta privacy by design e privacy by default – di cui all’art. 25 del medesimo Regolamento UE.
L’art. 32, par. 1, del Regolamento prevede espressamente che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravita per i diritti e le liberta delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Secondo il Regolamento il Titolare del trattamento e del Responsabile del trattamento sono chiamati a mettere in pratica le misure di sicurezza valutandone, in via preventiva, ma anche successiva, all’instaurazione del trattamento, l’adeguatezza nel rispetto comunque di quei livelli predefiniti dal legislatore.
Il Regolamento riconosce la necessità di puntare all’adeguatezza delle misure organizzative e tecniche cui far corrispondere un livello altrettanto adeguato di sicurezza dei dati personali, avallando il principio di responsabilizzazione.

L’art. 29 del Regolamento prescrive che “chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento, che abbia accesso a dati personali”, non può trattarli “se non e istruito in tal senso dal titolare del trattamento…”.
Pertanto, le sorti dell’organizzazione sono lasciate al Titolare ed al Responsabile del trattamento e, laddove obbligatoriamente previsto, al Responsabile della protezione dei dati personali intorno ai quali ruota il sistema di processi, procedure e prassi che il Regolamento consolida anche prevedendo obblighi specifici ed espressamente sanzionati.

In tale contesto, sicuramente l’amministratore di sistema riveste un ruolo rilevante all’interno dell’azienda: rappresenta una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; è un esperto chiamato a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali; a lui viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione.
Tale figura non potrà coincidere con analoghe figure di controllo quale il Data Protection Officer che svolge autonome attività di audit nell’ambito della sicurezza informatica.
Oltre ad essere la prima persona che dovrebbe rendersi conto di un eventuale violazione o perdita dei dati, accidentale od intenzionale che sia, è proprio l’amministratore di sistema che, con la sua attività quotidiana, svolge routine di sicurezza informatica volte a garanzia della struttura informatica.

Con il provvedimento sopra richiamato il Garante Privacy ha imposto ai Titolari di selezionare i candidati sulla base di comprovate capacità tecniche, di assegnare ai soggetti individuati adeguati livelli di responsabilità aziendale e di definire procedure tecniche di supervisione e controllo sull’operato svolto da tali soggetti.
Devono infatti essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Diversamente, una incauta o anche avventata designazione comporterebbe in capo al titolare una responsabilità per la c.d. culpa in eligendo ovvero per aver scelto un soggetto incompetente e inaffidabile.

Inoltre, il garante privacy ha previsto che:
1) E’ obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
2) I titolari sono tenuti a riportare nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
3) Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer).
4) Il Titolare deve adottare idonei sistemi di controllo che consentano la registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto.
5) Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.
6) L’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite.

Il Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli amministratori di sistema consentendo che gli adempimenti connessi all’individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai titolari, anche dai responsabili del trattamento. (cfr. Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009).

Dal momento che il Regolamento UE n. 679/2016 (GDPR) non prevede esplicitamente la figura dell’amministratore di sistema, si può ritenere che continuino a sussistere i predetti obblighi.

Quesito 1
Tenendo conto di quanto sopra riportato, per quanto riguarda il modello di incarico trasmesso si possono fare le seguenti osservazioni:
a) Il modello dovrebbe essere aggiornato al nuovo Regolamento UE n. 679/2016 (GDPR) che non è neppure citato.
b) Considerando l’obbligo per il Titolare di indicare analiticamente gli ambiti di operatività consentiti, l’atto di nomina potrebbe essere modificato dettagliando ulteriormente i compiti affidati all’amministratore di sistema, evitando clausole generiche come “adempiere ad ogni altro compito previsto dalla normativa”.

Quesito 2
Per quanto riguarda il compenso, si deve fare riferimento all’art. 2103 c.c. che disciplina il cosidetto “jus variandi”. Secondo tale norma, il dipendente adibito dall’azienda a mansioni superiori rispetto a quelle per le quali è stato assunto ha diritto ad essere inquadrato nella categoria corrispondente al lavoro effettivamente svolto e al conseguente aumento della retribuzione. Senonché i contratti collettivi per i dirigenti, a differenza che per gli impiegati e per gli operai (e qualche volta anche per i quadri), non declinano all’interno della categoria dirigenziale livelli di inquadramento.
Tuttavia, considerando l’importanza del ruolo dell’amministratore di sistema, nonché le maggiori responsabilità che tale ruolo comporta rispetto a quello di IT Manager, si potrebbe comunque tentare di negoziare un compenso integrativo.

Quesito 3
Quanto all’eventualità che si verifichino danni mentre l’amministratore di sistema è assente, è da rilevare innanzitutto che affinché il danno sia risarcibile è necessario che esso sia conseguenza immediata e diretta dell’azione od omissione che l’ha generato.
Secondo i principi generali la responsabilità contrattuale è disciplinata dall'art. 1218 c.c., il quale dispone testualmente che "il debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno se non prova che l'inadempimento o il suo ritardo è stato determinato da impossibilità della prestazione derivante da causa a lui non imputabile".
La norma, mirante espressamente a garantire la tutela sostanziale della posizione creditoria, va incontro a dei temperamenti, frutto del coordinamento, prima di tutto, con la disposizione di cui all'art. 1176 c.c. in materia di diligenza nell'adempimento dell'obbligazione, in conseguenza della quale, il debitore che, nonostante abbia agito con la diligenza richiesta, non abbia potuto adempiere all'obbligazione, sarà comunque esonerato dalla responsabilità risarcitoria.
Pertanto, perché l’azienda possa addossare una qualche responsabilità all’amministratore di sistema è necessario che lo stesso, ad esempio, abbia omesso di prevedere delle misure di sicurezza di cui era incaricato.
A tal proposito, sembrerebbe opportuno, anche alla luce delle particolari responsabilità attribuite, prevedere dei piani di continuità e protocolli di disaster recovery che, in caso di assenza dell’amministratore di sistema, indichino dettagliatamente le procedure da seguire e prevedano soluzioni alternative (anche in termini, eventualmente di figure che sostituiscano temporaneamente l’amministratore di sistema e abbiano ricevuto adeguata formazione ed istruzioni).
Se tutte le misure di cui sopra sono state poste in essere, l’amministratore assente sarebbe comunque esonerato da responsabilità, essendo il danno causato per una causa a lui non imputabile.
In questo contesto, una clausola di esclusione della responsabilità, seppur possibile, sarebbe superflua.

Quesito 4
È sufficiente che la nomina sia firmata dal titolare del trattamento o, se presente, dal responsabile del trattamento.

Quesito 5
L’incarico di amministratore di sistema può essere affidato a più soggetti e non necessariamente interni all’azienda. Sarà compito del titolare o del responsabile del trattamento determinare le competenze del consulente esterno che gestisce l’IT del ramo che verrà incorporato.

Quesito 6
Considerati i rischi che l’attività e il ruolo di amministratore di sistema comportano, non sarebbe assolutamente fuori luogo prevedere una forma di copertura assicurativa. Si potrebbe valutare la sottoscrizione di una polizza Directors & Officers (D&O) che tutela i rischi di chi ricopre ruoli delicati di amministrazione o altri ruoli di responsabilità all’interno dell’azienda.