La disciplina degli Amministratori di Sistema è regolata dal Provvedimento generale che il Garante per la protezione dei dati personali ha emanato il 27 novembre 2008 (pubblicato sulla Gazzetta ufficiale del 24 dicembre 2008), quando era ancora vigente il vecchio Codice della Privacy (D. Lgs. n. 196/2003) e poi emendato il 25 giugno 2009 con un nuovo provvedimento pubblicato sulla Gazzetta Ufficiale del 30 giugno 2009; si tratta del provvedimento recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”.
In tale documento, l’Autorità Garante ha chiarito quali sono le attività che possono essere ricondotte al ruolo di “amministratore di sistema”, sottolineandone la rilevanza rispetto al trattamento di dati personali ed evidenziando i rischi connessi alle mansioni assegnate a questa figura.
Con l’obiettivo di sensibilizzare gli enti e le organizzazioni nella propria funzione di titolari del trattamento (e oggi anche di responsabili del trattamento), il Garante ha dunque fornito chiare indicazioni su come procedere con riferimento alla selezione dei soggetti preposti al ruolo di amministratori di sistema, alla loro designazione, alle istruzioni da impartire e nei controlli da effettuare sul loro operato.
Si tratta di regole che, in virtù di quanto stabilito dall’art. 32 del Regolamento n. 679/2016 rubricato Sicurezza del trattamento, il quale impone a ciascun titolare del trattamento e ai responsabili del trattamento, di mettere in atto, nel contesto della propria organizzazione, misure di sicurezza tecniche e organizzative adeguate ai rischi connessi con i trattamenti effettuati, possono ritenersi ancora valide e applicabili anche dopo l’entrata in vigore del Regolamento n. 679/2016 che, lo si rammenta, ha abrogato il vecchio D.Lgs. n. 196/2003 (oggi vigente nella versione aggiornata dal D.Lgs. n. 101/2018).
Quali sono i ...