Amministratore di sistema: ruolo e rilevanza penale

Gli Amministratori di sistema presi in considerazione dall'Autorità sono sia le " figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti" sia le "figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi".
Essi, continua il Provvedimento, svolgono "attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware" che "comportano, infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò anche quando l'amministratore non consulti in chiaro le informazioni medesime".
Secondo il ragionamento presente nel documento in analisi, il nuovo Codice implica, attraverso determinati obblighi, tale figura. Il vigente testo prevede, infatti, "l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione".
In effetti si può aggiungere che molta parte degli obblighi previsti nel medesimo Allegato B rappresentano compiti caratteristici dell'Amministratore di sistema così come presente in molte Aziende: così, ad esempio, la realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) e la custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.

Il Provvedimento sottolinea, poi, che una sua posizione organizzativa in termini di responsabile di trattamento è facoltativa, come previsto dalle regole generali (art. 29, comma 1(1), del Codice).

Il documento evidenzia altresì la rilevanza penale di certe condotte del ruolo in esame, potendo (secondo l'interpretazione del Garante) incorrere, qualora abusi della qualità di operatore del sistema, in reati quali, ad esempio, l'accesso abusivo a sistema informatico telematico (art. 615-ter), la frode informatica (art. 640-ter), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis e -ter) e il danneggiamento di sistemi informatici telematici (art. 635-quater e -quinquies).

Il documento non si sofferma affatto, invece, sulle eventuali responsabilità derivanti, direttamente, dal Codice sui dati personali.

Commenti

Post popolari in questo blog

COORDINAMENTO SULLA SICUREZZA SUL LAVORO

Software privacy

D Lgs 81 la chiarezza