X

Amministratore di sistema, outsourcing a due via

AMMINISTRATORI DI SISTEMA, OUTSOURCING A DUE VIE

Contratti ad hoc o nomina di responsabili esterni per avere in outsourcing il servizio di amministrazione del sistema. E controllo sui singoli tecnici affidato ai gestori esterni.
Sono le novità previste dal provvedimento del garante del 25 giugno 2009, che ha modificato il provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e che ha prorogato i termini per il loro adempimento al 15 dicembre 2009.
La proroga (il termine originario era il 30 giugno 2009) è stata ritenuta necessaria per dare tempo di adeguarsi alle modifiche introdotte.
Modifiche che toccano soprattutto il caso in cui il servizio di amministratore di sistema è affidato in outsourcing a un operatore esterno, magari di grandi dimensioni, che si avvale di numerosi addetti con funzione di amministratore di sistema.
Il provvedimento del garante indicava una sola forma di nomina dell’amministratore di sistema e cioè la nomina individuale di una persona fisica. La nomina, persona per persona, se è semplice in una piccola organizzazione, diventa oggettivamente complicata quando ci si rivolge a una società esterna che ha un numero alto di dipendenti.
Secondo il provvedimento nella versione originaria bisognava lo stesso osservare la regola della nomina individuale, anche se non vi era nessuna garanzia di scelta effettiva da parte del titolare del trattamento, pur responsabile dell’operato dell’amministratore di sistema e tenuto al controllo della attività di quest’ultimo.
Nel testo modificato del provvedimento è stato inserito, il n. 3-bis, con il quale il garante dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di conservazione dei nominativi delle persone fisiche amministratori di sistema e di monitoraggio sulle stesse avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’articolo 29 del Codice della privacy, o anche tramite opportune clausole contrattuali.
In sostanza il titolare del trattamento (impresa, ente pubblico, professionista) nominano amministratore di sistema un soggetto esterno (ad esempio la società di grosse dimensioni) e vi sono due possibilità: o il soggetto esterno è nominato responsabile del trattamento oppure si stipulano con lo stesso “opportune clausole contrattuali”.
Se il soggetto esterno è nominato responsabile del trattamento, allora, in questa veste terrà l’elenco delle persone fisiche che svolgono in concreto le attività di amministratore di sistema e ne controllerà l’operato; se il soggetto non è nominato responsabile del trattamento, comunque, occorrono clausole e impegni contrattuali, che obblighino il soggetto esterno a tenere l’elenco delle persone fisiche, che svolgono in concreto le attività di amministratore di sistema, e a effettuare vigilanza e monitoraggio sulle stesse.
Insomma, se si nomina una società esterna responsabile del trattamento o se si stipula un contratto di amministrazione di sistema, i compiti (conservazione elenchi e controlli periodici) sono assegnati al soggetto esterno. Occorre, però, appunto fare una nomina di responsabile del trattamento ad hoc o stipulare clausole contrattuali apposite. Questi adempimenti iniziali permangono sempre (peraltro sono compiti ragionevoli perché in sostanza si fa “entrare qualcuno in casa propria” e occorre prendere tutte le cautele del caso).

Con un altro intervento si elimina l’obbligo di inserire nel documento programmatico sulla sicurezza gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite: è sufficiente che tali informazioni siano riportate in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Inoltre si consente di rendere nota o conoscibile ai propri dipendenti l’identità degli amministratori di sistema tramite “procedure formalizzate a istanza del lavoratore”. Questo significa che sarà il lavoratore a chiedere l’informativa e il datore di lavoro sarà tenuto a fornirla. In sostanza si trasforma l’informativa da tradizionale “atto” ad “attività” obbligatoria per il titolare del trattamento.

DOTT.SSA MONICA MELANI