Articolo 2 quaterdecies Codice della privacy

Il quesito posto impone una premessa riguardante la disciplina della tutela dei dati personali, i cui riferimenti normativi sono, per ciò che concerne la normativa sovranazionale, il Reg. UE 679/2016 (d’ora in poi G.D.P.R.) e, per quel che riguarda la disciplina nazionale, il d.lgs 101/2018.

Muovendo da queste fonti giuridiche si argomenta come segue:
1- Quanto alla prima domanda: è possibile che il personale di segreteria di un poliambulatorio medico possa raccoglierei dati sensibili dei pazienti e svolgere gli incombenti di cui alla normativa predetta purché il medesimo personale sia qualificato, dal punto di vista della struttura organizzativa interna dell’ente, come soggetti autorizzati ex art. 2 quaterdecies del codice privacy.
L’articolo in questione stabilisce che il Titolare del Trattamento o il Responsabile del Trattamento – ad esempio il rappresentante legale della struttura medica - possa prevedere che specifici compiti e mansioni possano essere attribuiti a persone fisiche, espressamente designate nell’ambito dell’assetto organizzativo della struttura stessa, individuando, al tempo stesso, le modalità più opportune.
Tali sono i c.d. “autorizzati al Trattamento” che operano sotto l’autorità diretta del Titolare o del Responsabile.
Quanto all’ambiente: trattandosi di un punto di prima accoglienza/segreteria, quest’ultimo deve essere adibito e organizzato in modo da tutelare la riservatezza dei pazienti nonché dei dati trattati.
2- Quanto alla seconda domanda: la normativa europea prevede, all’art. 5 GDPR lett. c, il principio di minimizzazione dei dati in base al quale il trattamento dei dati personali deve essere adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali sono trattati.
3- Quanto alla terza domanda: è possibile chiedere la cancellazione dei dati ritenuti non necessari e raccolti, quindi, in modo sproporzionato ai sensi dell’art. 17 GDPR.
Tale istanza può essere presentata anche personalmente direttamente alla struttura. I contatti e le informazioni generali si possono agevolmente reperire nell’informativa privacy presente anche sull’eventuale sito internet.
4- Quanto alla quarta domanda: dopo aver esaminato la scheda allegata, non si ravvisano richieste di dati non pertinenti o superflui rispetto alle finalità dell’attività medica da eseguire.

In ultima analisi si consiglia di verificare se il poliambulatorio in questione sia dotato di un Data Protection Officer (c.d. DPO) al fine di rendere nota la vicenda ed interessarlo di quanto è Sua intenzione richiedere alla struttura.
Il DPO è una figura neutrale e super partes che, ai sensi dell’art. 37 GDPR, ha la funzione di garantire il rispetto e il corretto trattamento da parte del Titolare o dei Responsabili eventualmente nominati, informando e consigliando l'organizzazione ed i suoi dipendenti riguardo gli obblighi di protezione dei dati ai sensi della normativa sovranazionale ed interna.
Monitora infine la conformità dell'organizzazione al Regolamento UE 679/2016 nonché alla policy e alle procedure interne in materia di protezione dei dati personali.

Per rispondere ai quesiti oggetto del presente parere è necessario definire la figura dell’amministratore di sistema e richiamare i relativi provvedimenti del Garante della Privacy nonché la normativa rilevante di settore.

L’amministratore di sistema è una figura professionale che approfondisce le competenze di un tecnico hardware e software soprattutto per quanto riguarda le caratteristiche delle architetture informatiche e, in particolare, l’utilizzo e la condivisione di grandi quantità di dati attraverso le reti di comunicazione.
Si occupa quindi essenzialmente di ogni tipo di rete informatica, comprese quelle a cui non si accede via web, come le reti intranet e implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte degli utenti, curando interventi di conservazione dei dati attraverso debite soluzioni di “backup” e progettando le attività di supporto al “disaster recovery”.

In assenza di definizioni normative e tecniche condivise, l’amministratore di sistema viene definito nel Provvedimento del Garante della privacy del 27 novembre 2008 come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”
Da tale definizione si evince che l’amministratore di sistema durante l’espletamento dei suoi incarichi ha un considerevole impatto di responsabilità sui dati aziendali e riveste sul piano operativo un ruolo particolare importante all’interno dell’azienda.
Nel nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) non è presente un diretto riferimento alla figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati. Tuttavia, tale figura può intendersi implicitamente richiamata, in alcune norme laddove al titolare del trattamento e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32 del predetto GDPR).

L’amministratore di sistema era già previsto nell’art. 1, comma 1, lett. c) d.P.R. 318/1999 (“soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”).
La figura non è stata prevista dal codice del 2003, ma il Garante per la Protezione dei Dati Personali ha emesso in data 27 novembre 2008 il Provvedimento Generale denominato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema con l’intento di promuovere presso Titolari e pubblico la consapevolezza della delicatezza del ruolo di “amministratore di Sistema“, richiamando in particolar modo l’attenzione sulla necessità di prestare la massima attenzione ai rischi incombenti sui dati personali e alle criticità relative alle misure di sicurezza adottate connesse allo svolgimento di tale attività. In particolare, il provvedimento del Garante della privacy del 27 novembre 2008 attribuiva all’amministratore di sistema il ruolo di custode delle componenti riservate delle credenziali di autenticazione, in relazione all’Allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del previgente Codice Privacy (d.lgs. 196/2003).
A seguito dell’abrogazione di tale Allegato B, si deve fare riferimento ai concetti presenti all’interno del nuovo Regolamento Europeo UE 2016/679 (il GDPR), in particolar modo, accountability, privacy by design e privacy by default.

L’art. 32 del Regolamento descrive delle misure altamente tecniche – la pseudonimizzazione e la cifratura dei dati personali; la capacita di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacita di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento – che implicano la collaborazione di personale specialistico, esperto nella gestione e nella trattazione informatica dei dati personali. Non solo è necessario che l’intervento di tale personale avvenga sin dalle fasi di progettazione e protezione dei dati – la cosiddetta privacy by design e privacy by default – di cui all’art. 25 del medesimo Regolamento UE.
L’art. 32, par. 1, del Regolamento prevede espressamente che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravita per i diritti e le liberta delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Secondo il Regolamento il Titolare del trattamento e del Responsabile del trattamento sono chiamati a mettere in pratica le misure di sicurezza valutandone, in via preventiva, ma anche successiva, all’instaurazione del trattamento, l’adeguatezza nel rispetto comunque di quei livelli predefiniti dal legislatore.
Il Regolamento riconosce la necessità di puntare all’adeguatezza delle misure organizzative e tecniche cui far corrispondere un livello altrettanto adeguato di sicurezza dei dati personali, avallando il principio di responsabilizzazione.

L’art. 29 del Regolamento prescrive che “chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento, che abbia accesso a dati personali”, non può trattarli “se non e istruito in tal senso dal titolare del trattamento…”.
Pertanto, le sorti dell’organizzazione sono lasciate al Titolare ed al Responsabile del trattamento e, laddove obbligatoriamente previsto, al Responsabile della protezione dei dati personali intorno ai quali ruota il sistema di processi, procedure e prassi che il Regolamento consolida anche prevedendo obblighi specifici ed espressamente sanzionati.

In tale contesto, sicuramente l’amministratore di sistema riveste un ruolo rilevante all’interno dell’azienda: rappresenta una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; è un esperto chiamato a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali; a lui viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione.
Tale figura non potrà coincidere con analoghe figure di controllo quale il Data Protection Officer che svolge autonome attività di audit nell’ambito della sicurezza informatica.
Oltre ad essere la prima persona che dovrebbe rendersi conto di un eventuale violazione o perdita dei dati, accidentale od intenzionale che sia, è proprio l’amministratore di sistema che, con la sua attività quotidiana, svolge routine di sicurezza informatica volte a garanzia della struttura informatica.

Con il provvedimento sopra richiamato il Garante Privacy ha imposto ai Titolari di selezionare i candidati sulla base di comprovate capacità tecniche, di assegnare ai soggetti individuati adeguati livelli di responsabilità aziendale e di definire procedure tecniche di supervisione e controllo sull’operato svolto da tali soggetti.
Devono infatti essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Diversamente, una incauta o anche avventata designazione comporterebbe in capo al titolare una responsabilità per la c.d. culpa in eligendo ovvero per aver scelto un soggetto incompetente e inaffidabile.

Inoltre, il garante privacy ha previsto che:
1) E’ obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
2) I titolari sono tenuti a riportare nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
3) Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer).
4) Il Titolare deve adottare idonei sistemi di controllo che consentano la registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto.
5) Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.
6) L’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite.

Il Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli amministratori di sistema consentendo che gli adempimenti connessi all’individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai titolari, anche dai responsabili del trattamento. (cfr. Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009).

Dal momento che il Regolamento UE n. 679/2016 (GDPR) non prevede esplicitamente la figura dell’amministratore di sistema, si può ritenere che continuino a sussistere i predetti obblighi.

Quesito 1
Tenendo conto di quanto sopra riportato, per quanto riguarda il modello di incarico trasmesso si possono fare le seguenti osservazioni:
a) Il modello dovrebbe essere aggiornato al nuovo Regolamento UE n. 679/2016 (GDPR) che non è neppure citato.
b) Considerando l’obbligo per il Titolare di indicare analiticamente gli ambiti di operatività consentiti, l’atto di nomina potrebbe essere modificato dettagliando ulteriormente i compiti affidati all’amministratore di sistema, evitando clausole generiche come “adempiere ad ogni altro compito previsto dalla normativa”.

Quesito 2
Per quanto riguarda il compenso, si deve fare riferimento all’art. 2103 c.c. che disciplina il cosidetto “jus variandi”. Secondo tale norma, il dipendente adibito dall’azienda a mansioni superiori rispetto a quelle per le quali è stato assunto ha diritto ad essere inquadrato nella categoria corrispondente al lavoro effettivamente svolto e al conseguente aumento della retribuzione. Senonché i contratti collettivi per i dirigenti, a differenza che per gli impiegati e per gli operai (e qualche volta anche per i quadri), non declinano all’interno della categoria dirigenziale livelli di inquadramento.
Tuttavia, considerando l’importanza del ruolo dell’amministratore di sistema, nonché le maggiori responsabilità che tale ruolo comporta rispetto a quello di IT Manager, si potrebbe comunque tentare di negoziare un compenso integrativo.

Quesito 3
Quanto all’eventualità che si verifichino danni mentre l’amministratore di sistema è assente, è da rilevare innanzitutto che affinché il danno sia risarcibile è necessario che esso sia conseguenza immediata e diretta dell’azione od omissione che l’ha generato.
Secondo i principi generali la responsabilità contrattuale è disciplinata dall'art. 1218 c.c., il quale dispone testualmente che "il debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno se non prova che l'inadempimento o il suo ritardo è stato determinato da impossibilità della prestazione derivante da causa a lui non imputabile".
La norma, mirante espressamente a garantire la tutela sostanziale della posizione creditoria, va incontro a dei temperamenti, frutto del coordinamento, prima di tutto, con la disposizione di cui all'art. 1176 c.c. in materia di diligenza nell'adempimento dell'obbligazione, in conseguenza della quale, il debitore che, nonostante abbia agito con la diligenza richiesta, non abbia potuto adempiere all'obbligazione, sarà comunque esonerato dalla responsabilità risarcitoria.
Pertanto, perché l’azienda possa addossare una qualche responsabilità all’amministratore di sistema è necessario che lo stesso, ad esempio, abbia omesso di prevedere delle misure di sicurezza di cui era incaricato.
A tal proposito, sembrerebbe opportuno, anche alla luce delle particolari responsabilità attribuite, prevedere dei piani di continuità e protocolli di disaster recovery che, in caso di assenza dell’amministratore di sistema, indichino dettagliatamente le procedure da seguire e prevedano soluzioni alternative (anche in termini, eventualmente di figure che sostituiscano temporaneamente l’amministratore di sistema e abbiano ricevuto adeguata formazione ed istruzioni).
Se tutte le misure di cui sopra sono state poste in essere, l’amministratore assente sarebbe comunque esonerato da responsabilità, essendo il danno causato per una causa a lui non imputabile.
In questo contesto, una clausola di esclusione della responsabilità, seppur possibile, sarebbe superflua.

Quesito 4
È sufficiente che la nomina sia firmata dal titolare del trattamento o, se presente, dal responsabile del trattamento.

Quesito 5
L’incarico di amministratore di sistema può essere affidato a più soggetti e non necessariamente interni all’azienda. Sarà compito del titolare o del responsabile del trattamento determinare le competenze del consulente esterno che gestisce l’IT del ramo che verrà incorporato.

Quesito 6
Considerati i rischi che l’attività e il ruolo di amministratore di sistema comportano, non sarebbe assolutamente fuori luogo prevedere una forma di copertura assicurativa. Si potrebbe valutare la sottoscrizione di una polizza Directors & Officers (D&O) che tutela i rischi di chi ricopre ruoli delicati di amministrazione o altri ruoli di responsabilità all’interno dell’azienda.