L’amministratore di sistema

L’amministratore di sistema

L’amministratore di sistema

Ieri abbiamo visto la figura del responsabile esterno del trattamento. Oggi in un precedente articolo abbiamo parlato degli incaricati del trattamento. Adesso, vediamo l’amministratore di sistema.

Come avevamo infatti detto ieri, ci sono tre figure preposte al trattamento dei dati personali:

  1. il responsabile del trattamento;
  2. gli incaricati del trattamento (ossia chi opera sotto l’autorità del titolare e/o del responsabile del trattamento;
  3. gli amministratori di sistema.

Chi è l’amministratore di sistema?

L’amministratore di sistema è generalmente individuato in ambito informatico, nelle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Il data base in buona sostanza.

Gli amministratori in molti casi sono concretamente considerati come veri e propri “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Esempi di queste attività tecniche sono:

  1. il salvataggio dei dati (backup/ recovery);
  2. l’organizzazione dei flussi di rete;
  3. la gestione dei supporti di memorizzazione;
  4. la manutenzione hardware.

Queste operazioni comportano infatti nella maggior parte dei casi, un effettivo accesso e una gestione di dati personali che viene pertanto a configurarsi esattamente alla stregua di un trattamento rilevante ai sensi di legge.

L’amministratore di sitsema nel GDPR

Questa figura non si trova all’interno del GDPR e, a differenza degli incaricati del trattamento di cui abbiamo già parlato, non è menzionato nemmeno nel Codice Privacy. A causa di ciò il Garante ha dovuto addirittura fare un provvedimento generale, ipotizzando quali siano i casi in cui sia necessario nominare un amministratore di sistema.

È almeno prevista una definizione tecnica?

La cosa strana è che non è prevista nemmeno una definizione tecnica di amministratore. Bisogna risalire al provvedimento del Garante a cui abbiamo fatto cenno poc’anzi per averne una.

Amministratori e art. 29 del GDPR

Come per gli incaricati che non erano previsti espressamente dal GDPR, anche nel caso degli amministratori possiamo riferirci all’art. 29. Infatti anche questi ultimi rientrano nella categoria di soggetti che devono agire sotto l’autorità e dietro la delega del titolare o del responsabile.

 

Contattaci subito per un preventivo

12 + 7 =

Il responsabile esterno del trattamento

Il responsabile esterno del trattamento

Il responsabile esterno del trattamento

Il responsabile esterno del trattamento, è una delle figure preposte al trattamento dei dati personali. Queste sono 3 in tutto:

  1. Il responsabile del trattamento;
  2. Incaricati del trattamento (ossia chi opera sotto l’autorità del titolare e/o del responsabile del trattamento);
  3. Amministratori di Sistema.

Delle figure 2 e 3 parleremo nei prossimi articoli. Oggi ci soffermeremo solo sulla figura del responsabile.

Responsabile del trattamento (art. 28 GDPR)

Fino all’avvento del GDPR, quando si parlava del responsabile, ci potevamo riferire sia a quello interno che a quello esterno. Quello al quale si riferisce l’art. 28,fa però unicamente riferimento al responsabile esterno del trattamento. Questa è una assoluta assenza di chiarezza che fa nascere non pochi problemi nell’individuazione di questa categoria. Nel caso in cui l’art. 28 si riferisse non solo a quelli esterni, ma anche a quelli interni, allora anche altre parti del GDPR tratterebbero della tematica del responsabile.

Responsabile interno o esterno?

La domanda posta è più che legittima, considerando che il GDPR come abbiamo visto parla solo di quello esterno. Se prendiamo l’art. 4, par. 1, n. 8, qui viene data una definizione di responsabile del trattamento senza specificare se debba intendersi interno od esterno. Qui si dice che è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Ma allora la domanda rimane: interno o esterno? Su questo punto l’Europa si è mossa in senso diverso rispetto all’Italia. Infatti a livello europeo si è sempre detto che la figura del responsabile sia solo esterna all’azienda, in quanto il responsabile non può essere alle dipendenze del titolare. Nel momento in cui il titolare attribuisse delle responsabilità a soggetti interni all’azienda, continuerebbe infatti a rispondere del loro operato in prima persona. Invece il responsabile esterno effettua il trattamento dei dati in conformità alle istruzioni impartitegli dal titolare, ma si assume le responsabilità delle sue azioni. Come dicevamo, in Italia la situazione è stata un po’ diversa perché si è sempre parlato sia di responsabile interno che esterno. Tuttavia come abbiamo visto all’inizio dell’articolo, con l’avvento del GDPR quello esterno è l’unica figura di responsabile regolamentata.

 

 

Contattaci subito per un preventivo

13 + 7 =

Gli incaricati del trattamento

Gli incaricati del trattamento

Gli incaricati del trattamento

Ieri abbiamo visto la figura del responsabile esterno del trattamento. Oggi vediamo la figura degli incaricati del trattamento.

Come avevamo infatti detto ieri, ci sono tre figure preposte al trattamento dei dati personali:

  1. il responsabile del trattamento;
  2. gli incaricati del trattamento (ossia chi opera sotto l’autorità del titolare e/o del responsabile del trattamento;
  3. gli amministratori di sistema.

Chi sono gli incaricati del trattamento?

La figura degli incaricati è stata prevista già dal Codice Privacy, il quale all’art. 4, par. 1 , lett. h) li individua come:

le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

Solitamente tra le persone fisiche designate ad essere incaricati, troviamo generalmente il personale dell’azienda. Essi effettuano materialmente le operazioni di trattamento dei dati personali, ed operano sotto la diretta autorità del titolare o del responsabile. Infatti, è l’incaricato che svolge il trattamento. Gli incaricati nell’ambito dell’organigramma privacy, si trovano sotto ai responsabili. Se pensiamo ad un Call Center, a porre in essere il trattamento non è il Call Center stesso, ma gli incaricati. Per questo, essi devono essere istruiti in modo adeguato rispetto a come effettuare il trattamento.

L’incaricato nel GDPR

Nel Regolamento non c’è la figura dell’incaricato. Tuttavia, l’art. 29 del GDPR stabilisce che:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Questo articolo ci fa capire che le uniche attività di trattamento che possono essere svolte, sono quelle dei soggetti che operano sotto l’autorità del titolare o del responsabile, che siano stati incaricati o istruiti in tal senso. E nel dire ciò, troviamo una compatibilità con il disposto dell’art. 30 del Codice Privacy, il quale prevede espressamente con riferimento agli incaricati del trattamento, che:

le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

Quindi, facendo un paragone tra questi due articoli, anche se il GDPR non lo dice espressamente, si può comunque dedurre che la figura dell’incaricato sia più che legittima.

 

 

Contattaci subito per un preventivo

5 + 1 =

Call Now Button
Open chat