Il ruolo dei tecnici informatici e delle software house nel sistema privacy. 9.11.18

La definizione del ruolo dei tecnici informatici che effettuano servizio in outsourcing e delle software house nell'ambito della gestione della disciplina "privacy" è una questione che ingenera non poche incomprensioni e contrasti tra le imprese interessate.

In mancanza di espressa disciplina normativa è opportuno, pertanto, delineare la risposta al problema ricavandola dalle indicazioni del Garante e dagli orientamenti prevalenti in materia.

Amministratore di sistema

Secondo quanto indicato nel Provvedimento del Garante del 27.11.20081 è definito "Amministratore di sistema" quel tecnico hardware e/o software preposto alla sicurezza, alla gestione e alla manutenzione delle banche dati, dei sistemi e delle infrastrutture informatiche di un'impresa che, in ragione delle sue mansioni (come ad esempio, attività tecniche quali il salvataggio dei dati, l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e manutenzione hardware), può avere il privilegio di accedere (anche solo potenzialmente) ai dati personali trattati dal titolare[1].

In ragione dei nuovi severi obblighi imposti dal Reg. UE 679/16 si deve considerare che questa figura sia centrale per la tutela dei dati.

Il tecnico informatico, infatti, ha un accesso privilegiato a tutti i dati personali trattati dall'impresa, si occupa delle misure di sicurezza, quali back-up, disaster recovery, installazione e aggiornamento di antivirus e firewall, gestione delle credenziali e dei sistemi di autenticazione e autorizzazione.

E' pur vero che non tutti i tecnici informatici esterni devono essere considerati Amministratori di sistema.

Se, infatti, le innanzi indicate attività, finalizzate a garantire un livello adeguato di sicurezza dei dati, sono svolte da personale aziendale interno (adeguatamente competente) e il tecnico hardware e/o software esterno viene chiamato solo occasionalmente per manutenzione oppure per risolvere un guasto o un malfunzionamento (e gli accessi sono compiutamente monitorati e sorvegliati) l'esperto informatico in questione non sarà Amministratore di sistema.

Logico corollario a quanto espresso è la seguente considerazione:

se un'impresa (anche se PMI) non ha un Responsabile del sistema informativo aziendale interno farà fatica a giustificare di non avere un "Amministratore di sistema" esterno[2].

Si consideri, infatti, che l'art. 5 del GDPR individua nel Titolare il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali e che l'art. 24 gli impone di mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità ai principi fondamentali della disciplina in materia.

E' opinione condivisa che quando il ruolo di Amministratore di sistema viene affidato in outsourcing ad un soggetto esterno, questo dovrà considerarsi Responsabile del trattamento. In considerazione di ciò, il titolare dovrà vincolare l'Amministratore di sistema con un contratto scritto, contenente tutti i requisiti richiesti dall'art. 28 Reg. UE 2016/679.

 

 

Società di servizi informatici

L’Amministratore di sistema è una persona fisica. Nel caso l’impresa commissioni ad una società il servizio in outsourcing quest’ultima sarà nominata “Responsabile del trattamento” e dovrà provvedere alla nomina dell’Amministratore di sistema al proprio interno.

 

Software house

Analoga è la posizione della Software house qualora, oltre alla licenza d'uso del software,

eroghi servizi di assistenza, aggiornamento e manutenzione, che comprendono ad esempio:

attività di migrazione dati finalizzata all'installazione e al collaudo del software;

servizi di assistenza e aggiornamento che comportano (ancorché occasionalmente) l'accesso

remoto ai dati del cliente (es. tramite teamviewer, VPN, etc.);

analisi di dati (DB, videate, esportazioni di dati, etc.) del cliente per verificare problematiche

di carattere tecnico e svolgere attività di manutenzione.

In questi casi[3], il GDPR prevede che il soggetto che svolge le attività di trattamento dei dati per conto del titolare sia da considerare comunque quale Responsabile del trattamento.

Ovviamente gli obblighi posti in capo alla Software house-Responsabile del trattamento, con la stipula del contratto imposto dal GDPR, dovranno essere coerenti e circoscritti alle sole attività di stretta competenza che comportino un trattamento di dati personali. Gli Amministratori di sistema, le loro Società e le Software house potranno, infatti, escludere eventuali richieste dei clienti dirette ad estendere gli obblighi ad attività non compatibili con la natura del servizio o non debitamente retribuite.

Gualtiero Roveda

 

 

 

[1] Queste attività secondo il menzionato Provvedimento del Garante comportano in molti casi un’effettiva capacità d’azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò anche quando l’amministratore non consulti “in chiaro” le informazioni medesime.

[2] Va da sé che non è meno imbarazzante ed esposta a sanzioni la posizione dell'Amministratore di sistema di fatto che non ha provveduto agli adempimenti a suo carico in ragione dei compiti in concreto a lui affidati.

[3] In tal senso si è espressa l’Associazione di categoria nazionale dei propduttori di software di gestione e fiscale - http://www.assosoftware.it/attachments/article/1544/FAQ_Gruppo%20di%20Lavoro%20Privacy%20Assosoftware_Marzo_2018.pdf