Nel provvedimento del Garante della Privacy del 27 novembre 2008 l’Amministratore di rete viene definito come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”
Quindi l’amministratore di sistema, nel suo lavoro, pur se meramente tecnico, ha un considerevole impatto di responsabilità sui dati aziendali.
Ma chi chi è l’amministratore di sistema? Cosa fa l’Amministratore di sistema?
L’amministratore di sistema, conosciuto anche come tecnico sistemista di rete, è una figura professionale specializzata nelle architetture informatiche e, in particolare, l’utilizzo e la condivisione di grandi quantità di dati attraverso le reti di comunicazione. Si occupa della rete informatica, sia web che interna (intranet), di conseguenza implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti. Di fondamentale importanza anche la conservazione dei dati attraverso “backup” e le attività di supporto in caso di problemi.
Cosa cambia per l’amministratore di sistema con il nuovo GDPR?
Non c’è nel nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) un riferimento diretto alla figura dell’amministratore di sistema.
Certo, in diverse norme viene indirettamente richiamata la sua figura, ad esempio quando al titolare del trattamento e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento). Tali misure tecniche non sono dettagliate ma lo stesso art. 32 del Regolamento descrive delle procedure altamente tecniche – quali la cifratura dei dati personali, il loro tempestivo ripristino in caso di incidenti fisici o tecnici e le verifiche periodiche delle misure tecniche ed organizzative adottate – che danno per scontata la presenza di un tecnico specializzato, quindi l’amministratore di rete.
L’art. 32, par. 1, del Regolamento prevede espressamente che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
In verità qualcosa di più viene detto, è necessario provvedere a queste attività:
• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Quali sono, quindi, le funzioni dell’amministratore di sistema?
L’amministratore di sistema riveste sul piano operativo una certa professionalità ed un ruolo rilevante all’interno dell’azienda: rappresenta una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; è un esperto chiamato a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali; a lui viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione. A questo si aggiunge che il sistemista di rete deve essere essere la prima persona a rendersi conto di un eventuale violazione o perdita dei dati, accidentale o intenzionale che sia.
Prossimamente spiegheremo quali sono i software e gli strumenti necessari al Sistemista di rete per meglio adempiere al suo lavoro, anche in ottica del nuovo GDPR. Tra questi strumenti c’è il firewall Fortinet, nostra azienda partner. Ne parleremo.