L’amministratore di sistema

L’amministratore di sistema

L’amministratore di sistema

Ieri abbiamo visto la figura del responsabile esterno del trattamento. Oggi in un precedente articolo abbiamo parlato degli incaricati del trattamento. Adesso, vediamo l’amministratore di sistema.

Come avevamo infatti detto ieri, ci sono tre figure preposte al trattamento dei dati personali:

  1. il responsabile del trattamento;
  2. gli incaricati del trattamento (ossia chi opera sotto l’autorità del titolare e/o del responsabile del trattamento;
  3. gli amministratori di sistema.

Chi è l’amministratore di sistema?

L’amministratore di sistema è generalmente individuato in ambito informatico, nelle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Il data base in buona sostanza.

Gli amministratori in molti casi sono concretamente considerati come veri e propri “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Esempi di queste attività tecniche sono:

  1. il salvataggio dei dati (backup/ recovery);
  2. l’organizzazione dei flussi di rete;
  3. la gestione dei supporti di memorizzazione;
  4. la manutenzione hardware.

Queste operazioni comportano infatti nella maggior parte dei casi, un effettivo accesso e una gestione di dati personali che viene pertanto a configurarsi esattamente alla stregua di un trattamento rilevante ai sensi di legge.

L’amministratore di sitsema nel GDPR

Questa figura non si trova all’interno del GDPR e, a differenza degli incaricati del trattamento di cui abbiamo già parlato, non è menzionato nemmeno nel Codice Privacy. A causa di ciò il Garante ha dovuto addirittura fare un provvedimento generale, ipotizzando quali siano i casi in cui sia necessario nominare un amministratore di sistema.

È almeno prevista una definizione tecnica?

La cosa strana è che non è prevista nemmeno una definizione tecnica di amministratore. Bisogna risalire al provvedimento del Garante a cui abbiamo fatto cenno poc’anzi per averne una.

Amministratori e art. 29 del GDPR

Come per gli incaricati che non erano previsti espressamente dal GDPR, anche nel caso degli amministratori possiamo riferirci all’art. 29. Infatti anche questi ultimi rientrano nella categoria di soggetti che devono agire sotto l’autorità e dietro la delega del titolare o del responsabile.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

Gli incaricati del trattamento

Gli incaricati del trattamento

Gli incaricati del trattamento

Ieri abbiamo visto la figura del responsabile esterno del trattamento. Oggi vediamo la figura degli incaricati del trattamento.

Come avevamo infatti detto ieri, ci sono tre figure preposte al trattamento dei dati personali:

  1. il responsabile del trattamento;
  2. gli incaricati del trattamento (ossia chi opera sotto l’autorità del titolare e/o del responsabile del trattamento;
  3. gli amministratori di sistema.

Chi sono gli incaricati del trattamento?

La figura degli incaricati è stata prevista già dal Codice Privacy, il quale all’art. 4, par. 1 , lett. h) li individua come:

le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

Solitamente tra le persone fisiche designate ad essere incaricati, troviamo generalmente il personale dell’azienda. Essi effettuano materialmente le operazioni di trattamento dei dati personali, ed operano sotto la diretta autorità del titolare o del responsabile. Infatti, è l’incaricato che svolge il trattamento. Gli incaricati nell’ambito dell’organigramma privacy, si trovano sotto ai responsabili. Se pensiamo ad un Call Center, a porre in essere il trattamento non è il Call Center stesso, ma gli incaricati. Per questo, essi devono essere istruiti in modo adeguato rispetto a come effettuare il trattamento.

L’incaricato nel GDPR

Nel Regolamento non c’è la figura dell’incaricato. Tuttavia, l’art. 29 del GDPR stabilisce che:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Questo articolo ci fa capire che le uniche attività di trattamento che possono essere svolte, sono quelle dei soggetti che operano sotto l’autorità del titolare o del responsabile, che siano stati incaricati o istruiti in tal senso. E nel dire ciò, troviamo una compatibilità con il disposto dell’art. 30 del Codice Privacy, il quale prevede espressamente con riferimento agli incaricati del trattamento, che:

le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

Quindi, facendo un paragone tra questi due articoli, anche se il GDPR non lo dice espressamente, si può comunque dedurre che la figura dell’incaricato sia più che legittima.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

 

 

Call Now Button