Avv. Chiara Fantini – Consulente Privacy.it

Pubblicato in data 12-04-2017

Il provvedimento adottato dall’Autorità garante per la protezione dei dati personali il 27 novembre 2008, recante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, poneva rimedio a quella che dopo l’entrata in vigore del D.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali, di seguito anche solo Codice) si è dimostrata una mancanza ingiustificata rispetto alla normativa cui esso succedeva.

A dispetto del D.P.R. n. 318/1999 avente ad oggetto il “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge 31 dicembre 1996, n. 675” (abrogata con l’entrata in vigore del D.lgs. n. 196/2003), il Codice tralascia di considerare l’amministratore di sistema (che il richiamato Regolamento individua espressamente come il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”), limitandosi – nel suo allegato tecnico –  a dare rilievo alle misure di sicurezza poste a garanzia di un trattamento sicuro e tutelato da rischi, specifici e non, indipendentemente dalla peculiare attitudine del soggetto cui è demandata la concreta applicazione delle stesse.

In generale, il Codice si occupa degli incaricati che, secondo l’art. 30, agiscono sotto la diretta autorità del Titolare o del Responsabile del trattamento rispettando e mettendo in pratica le istruzioni da questi impartite, anche in merito alle misure di sicurezza (minime per come previste dagli artt. 33 e ss. del Codice) poste a presidio dei trattamenti all’attuazione dei quali gli incaricati sono destinati. La loro designazione (e le conseguenti istruzioni) misura, quindi, la diligenza richiesta al Titolare, o per esso al Responsabile del trattamento, nella gestione delle richieste misure tecniche, organizzative e di sicurezza, e così la loro responsabilità per l’inadempimento nel caso di acclarata omissione delle tutele per la protezione dei dati personali (cfr. art. 169 del Codice).

Il provvedimento in questione, nei suoi considerando, dava risalto all’individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema (siano essi designati quali incaricati o responsabili. ai sensi rispettivamente degli artt. 29 e 30 del Codice), restituendo centralità alle specifiche peculiarità e competenze di questi.  Così facendo considerava il loro accesso nella organizzazione dei Titolari, a cui sono rivolte le prescrizioni del provvedimento, una delle scelte fondamentali che, unitamente a quelle relative a tecnologie adeguate, avrebbero contribuito a incrementare la complessiva sicurezza dei trattamenti svolti.

Restituire alla sicurezza un livello adeguato risponde pienamente alla ratio che sottende la disciplina sui relativi obblighi di cui all’art. 31 del Codice.

La norma prevede che i dati personali oggetto di trattamento siano custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

La disposizione, al contempo, non prevede una sanzione specifica per l’eventuale inadempimento se non rispetto alle misure minime di sicurezza che, pur sempre previste nel quadro degli obblighi generali di cui all’art. 31, sono riconducibili ad un livello sufficiente di tutela al di sotto del quale, nelle intenzioni del Codice, la protezione dei dati non può aversi come effettivamente prestata. Esse si rifanno ad una valutazione del rischio e dei rimedi a contenimento dello stesso operata di default dal legislatore, che esclude, quindi, la discrezione dei soggetti obbligati agli adempimenti connessi al corretto e sicuro trattamento dei dati personali se non innalzando il livello della sicurezza garantito con le misure previste in maniera inderogabile dagli artt. 33 e ss. del Codice.

Si determinava in tal senso l’Autorità proprio con il provvedimento in esame rispondendo compiutamente all’esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dell’amministratore di sistema. Individuandolo, essa si pronunciava a favore di misure di sicurezza di livello più elevato e sicuramente più fedeli alla realtà in cui i trattamenti trovano elezione, richiedendo un continuo adeguamento alle istanze, soprattutto, tecnologiche, la cui complessità non può essere controllata in modo esaustivo da cautele e garanzie “di massima”.

Riguardo agli obiettivi che si poneva, il provvedimento si sdoppiava, dapprima prevedendo una sorta di linee guida capaci di dirigere i Titolari del trattamento verso una scelta compiuta e ponderata dell’amministratore di sistema e la concreta osservanza degli adempimenti che ne conseguono (art. 154, comma 1, lett. h) del Codice); disponendo poi per il valore prescrittivo delle sue “regole” cui riconduceva l’eventuale sanzione in caso di inosservanza (art. 154, comma 1, lett. c) in combinato disposto con l’art. 162, comma 2 – ter, del Codice).

Nel dispositivo del provvedimento, l’Autorità, invero statuiva che:

“ai sensi dell’art. 154, comma 1, lett. h) del Codice, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l’attenzione dei medesimi titolari sull’esigenza di valutare con particolare attenzione l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l’opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l’incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato”; e ancora

“ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive l’adozione delle misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici”.

Con il provvedimento in esame l’Autorità prevedeva che il Titolare, per non venire meno alle esigenze sopra rappresentate, individuasse solo soggetti che per esperienza, capacità ed affidabilità, avrebbero fornito idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza. Le caratteristiche erano, in pratica, quelle che l’art. 29 del Codice richiede, a tutt’oggi, per la designazione del Responsabile del trattamento, con ciò facendo intendere che il livello di competenze e di conoscenze richiesto al candidato amministratore di sistema si mantenesse (anche in caso di sua individuazione quale incaricato del trattamento, ai sensi dell’art. 30 del Codice) su uno standard esigente, attesi proprio i compiti ad esso demandati. La designazione (individuale e per iscritto) dell’amministratore di sistema, secondo le intenzioni dell’Autorità garante, doveva rispettare il rigido “protocollo” delle istruzioni da impartire che, in specie, dovevano essere, più che sufficientemente, articolate e altresì strettamente coerenti con gli ambiti di operatività consentiti al designando amministratore in base ai suoi profili autorizzativi; tali ultimi regolando il suo accesso ai sistemi e agli strumenti da manutenere e/o da configurare secondo i privilegi acquisiti e le indicazioni provenienti dal Titolare.

La scelta non poteva sottrarsi, altresì, dal riconoscimento in capo al designando amministratore di conoscenze tecniche specifiche non proprie, nella maggior parte dei casi, del Titolare. L’intervento ad adiuvandum dell’amministratore, per ciò stesso, veniva considerato come un intervento qualificato su cui si misurava la diligenza ad esso richiesta.

Per qualificare l’amministratore di sistema, in base a quanto previsto dal provvedimento in esame, il Titolare del trattamento avrebbe dovuto riferirsi a particolari elementi soggettivi.

Infatti, per il Garante, l’amministratore di sistema non era qualificato solo dalle oggettive attività tecniche che svolgeva, ma doveva essere altresì un soggetto che nello svolgimento di dette attività (così Alessandro del Ninno in “L’attuazione in azienda del Provvedimento del Garante privacy sugli Amministratori di Sistema: adempimenti pratici e soluzioni operative” del 10 novembre 2009):

  • agisse quale professionista altamente qualificato dal punto di vista tecnico;
  • avesse un’effettiva ed elevata capacità di azione tecnica propria rispetto alle informazioni trattate;
  • rivestisse un ruolo tecnico particolarmente rilevante, specifico e critico;
  • fosse legato al Titolare del trattamento da un rapporto avente natura fiduciaria (data l’autonomia delle sue azioni).

Sembra chiaro che la scelta del Titolare del trattamento non potesse essere lasciata al caso. Diversamente, una incauta o anche avventata designazione avrebbe comportato a carico di questi responsabilità per la c.d. culpa in eligendo ovvero per aver scelto un soggetto incompetente e inaffidabile (con effetti civilmente e, nei casi peggiori, penalmente rilevanti). Ma altrettanto avrebbe rischiato se, pur essendo stato diligente nella scelta, non avesse provveduto a mantenere fede ai suoi obblighi di controllo e di monitoraggio (culpa in vigilando). Così come caratterizzati dal provvedimento in esame e anche dal Codice che, a tutt’oggi, impongono al Titolare di vigilare in modo puntuale sull’osservanza delle istruzioni impartite e sul permanere dei requisiti richiesti in capo al soggetto designato, il cui operato sarà valutato, con cadenza periodica e costante, al fine di verificare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali in atto presso il Titolare medesimo.

Pari cautele avrebbero dovuto essere osservate quando il Titolare si fosse trovato nella necessità di affidare i servizi di amministrazione di sistema all’esterno della sua struttura individuando l’outsourcer quale Responsabile del trattamento tenuto all’adempimento degli obblighi meglio specificati nel provvedimento in esame.

In generale, le garanzie prestate dall’outsourcer, passano per le pattuizioni raggiunte tra i contraenti tenuti, ciascuno in base alla loro posizione contrattuale oltre che alle specifiche competenze, a rispettare i limiti stabiliti dal legislatore al fine di contenere le funzionalità del sistema in uso entro il perimetro segnato dal trattamento a cui accederanno evitando trattamenti eccedenti e per ciò stesso illeciti. La corretta configurazione dei sistemi entra, quindi, nella contrattazione delle parti e risponde alle istanze di questa (diligenza e corretto adempimento) e ai parametri stabiliti per legge (principio di necessità, tra tutti). I due piani si incontrano, altresì, nella predisposizione delle idonee misure di sicurezza e quindi nel presidio delle stesse se rimesse al Titolare o al fornitore, o ad entrambi congiuntamente.

L’iniziativa dell’Autorità è più che altro dovuta e inevitabile (atteso il silenzio del Codice in materia di amministratori di sistema), ma al contempo non può negarsi che essa abbia permesso al provvedimento di aprire scenari ben più coerenti con la realtà del momento. Essa richiama un cambiamento “culturale” capace di rimettere in equilibrio il rischio, attualizzato al “nuovo presente” di trattamenti evoluti, e le tutele a suo rimedio, aggiornando così gli strumenti adibiti alla sicurezza e alla riservatezza dei dati trattati e il livello di garanzia ad essi richiesto.

Risponde pienamente alla “trasformazione”, consolidandone gli effetti, il Regolamento (UE) n. 679/2016 del Parlamento europeo e del Consiglio (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,  che abroga la direttiva 95/46/CE, di seguito anche il Regolamento).

Rispetto alla disciplina contenuta nella Direttiva n. 95/46/CE il Regolamento (UE) n. 679/2016 presenta un capovolgimento di prospettiva destinando la parte più significativa della disciplina a tutela della riservatezza non più ai diritti dei data subjects (gli interessati), ma ai doveri dei Titolari e dei Responsabili del trattamento e alle misure di sicurezza adottabili o da adottare alla luce del nuovo approccio. Approccio che fin da subito si impone nel riservare alle misure un livello adeguato di sicurezza (per definizione più elevato del livello minimo assicurato dalle misure di sicurezza del Codice). L’art. 32, comma 1, del Regolamento prevede al riguardo che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il legislatore europeo sembra aver fatto già le sue prime valutazioni quando dispone per un nucleo minimo di misure che rispondono a criteri di sicurezza predefiniti e che puntano sicuramente a bilanciare in maniera adeguata il rischio a contrasto del quale vengono chiamate. Tra esse comprende:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Al di là di ciò, l’art. 32 del Regolamento fin dal suo esordio chiarisce il ruolo del Titolare del trattamento (e per esso del Responsabile) chiamato a mettere in pratica le misure di sicurezza valutandone, in via preventiva, ma anche successiva, all’instaurazione del trattamento, l’adeguatezza in ragione di parametri dinamici per definizione, rispettando comunque i livelli predefiniti dal legislatore.

La valutazione, pertanto, diventa un passaggio fondamentale nella gestione e nell’organizzazione delle risorse associate ai trattamenti posti in essere. Tanto che il Regolamento si spinge a proceduralizzarne l’obbligo soprattutto nei casi in cui i trattamenti medesimi si presentino particolarmente pericolosi per i diritti e le libertà degli interessati o il rischio che ne derivi sia particolarmente elevato (cfr. artt. 35 e 36 del Regolamento). L’analisi dei rischi e la valutazione di impatto per la sicurezza dei dati personali è destinata a diventare, in sostanza, una buona prassi del Titolare del trattamento sia all’atto in cui esso viene posto in essere, sia nel suo svolgimento che, addirittura, alla sua cessazione; e questi deve essere in grado di dimostrare (in primis all’Autorità di controllo) che le misure organizzative adottate siano conformi alle prescrizioni del Regolamento così come le misure di sicurezza, che devono rimanere efficaci e adeguate per tutta la durata del trattamento.

I nuovi obblighi (di accountability o di responsabilizzazione) rispondono all’accorato monito che il Gruppo di lavoro (costituito dai Garanti europei in base all’art. 29 della Direttiva 95/46/CE) sollevava nel parere n. 3/2010, prospettando alla Commissione europea la possibilità di intervenire in tal senso sulla Direttiva stessa.

Il Gruppo di lavoro (Working party article 29 – WP) richiamava l’attenzione della Commissione europea, già prima che il Regolamento venisse solo abbozzato, di considerare la necessità di introdurre un principio di responsabilità capace di imporre ai Titolari del trattamento di definire e attuare le misure necessarie per garantire il rispetto dei principi e degli obblighi della Direttiva e di verificarne periodicamente l’efficacia. Il principio della responsabilità, secondo le intenzioni del WP, avrebbe dovuto imporre ai Titolari del trattamento dei dati di disporre dei meccanismi interni necessari per dimostrarne la conformità agli interessati esterni, comprese le autorità nazionali di protezione dei dati.

Il WP, al contempo, suggeriva le misure comuni per i Titolari interessati quali:

  • l’istituzione di procedure interne prima della creazione di nuove operazioni di trattamento dei dati personali (revisione interna, valutazione, ecc);
  • la formulazione per iscritto di politiche di protezione dei dati vincolanti da prendere in considerazione e applicare alle nuove operazioni di trattamento dei dati (ad esempio, qualità dei dati, comunicazione, principi di sicurezza, accesso, ecc.), che dovrebbero essere a disposizione degli interessati;
  • la mappatura delle procedure per garantire la corretta identificazione di tutte le operazioni di trattamento dei dati e gestione di un inventario di dette operazioni;
  • la nomina di un incaricato della protezione dei dati e di altri soggetti responsabili della protezione dei dati;
  • un’adeguata formazione e istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali (come i direttori delle risorse umane), ma anche dirigenti e sviluppatori in campo informatico, e direttori di unità commerciali. Dovrebbero essere stanziate risorse sufficienti per la gestione della privacy, ecc.;
  • la creazione di procedure trasparenti per gli interessati finalizzate alla gestione delle richieste di accesso, rettifica e cancellazione;
  • l’istituzione di un meccanismo interno di gestione dei reclami;
  • la definizione di procedure interne per la gestione e la comunicazione efficace di violazioni della sicurezza;
  • l’effettuazione di valutazioni d’impatto sulla privacy, in circostanze specifiche;
  • l’attuazione e controllo delle procedure di verifica per assicurare che tutte le misure esistano non solo sulla carta, ma siano applicate e funzionino nella pratica (audit interni o esterni ecc.).

Il Regolamento risponde al monito riconoscendo la necessità di puntare all’adeguatezza delle misure organizzative e tecniche cui far corrispondere un livello altrettanto adeguato di sicurezza dei dati personali, e avallando il principio di responsabilizzazione. Esso declinato secondo l’elenco ipotizzato dal Gruppo di lavoro di cui, però, tralascia la previsione di una maggiore articolazione dell’organizzazione delle risorse “umane” nella protezione dei dati personali.

Nessun incaricato del trattamento; l’art. 29 del Regolamento prescrive, in modo non del tutto esauriente, che “chiunque agisca sotto l’autorità del Responsabile del trattamento o sotto quella del Titolare del trattamento, che abbia accesso a dati personali”, non può trattarli “se non è istruito in tal senso dal titolare del trattamento…”.

E ancora nessun rilievo sui soggetti preposti ad attività strategiche come quelle che si consumano in campo informatico.

Pertanto con il Regolamento le sorti dell’organizzazione sono lasciate al Titolare del trattamento, al Responsabile del trattamento e, laddove obbligatoriamente previsto, al Responsabile della protezione dei dati personali (il Data Protection Officer o DPO). Intorno ai quali ruota il sistema di processi, procedure e prassi che il Regolamento consolida anche prevedendo obblighi specifici ed espressamente sanzionati.

Ad oggi quindi il lavoro più importante del legislatore nazionale sarà quello di stabilire se il Regolamento spazzerà via completamente la disciplina normativa in essere e i provvedimenti che ne sono derivati o se sarà possibile salvarli allorché non confliggenti. Da ogni parte si azzardano previsioni ma ad oggi nessuna risulta condivisa a livello legislativo.

Indubbiamente non può dirsi che il provvedimento in esame non rispecchi le aspettative del Regolamento o che non risponda ai principi di responsabilità e di efficacia delle misure organizzative e di sicurezza che esso sdogana esplicitamente. Tanto appare chiaro nelle intenzioni dell’Autorità nella definizione degli obiettivi del provvedimento dando risalto alle garanzie tese ad un incremento della sicurezza dei trattamenti svolti. Le garanzie in tal senso discendenti dall’individuazione degli amministratori di sistema rispondono ad un doppio fine: l’uno quello di riconoscere un ruolo (individuato in materia specifica e finalizzata nell’organizzazione del Titolare e/o del Responsabile del trattamento) ad una competenza peculiare poiché centrata sulla sua concreta applicazione in campo informatico, essenziale per la comprensione dei nuovi rischi e per l’attuazione di misure ad essi adeguate; dall’altro quello di organizzare in maniera efficace le attività di controllo dell’operato dell’amministratore di sistema al fine di evitare che il suo carattere altamente specialistico non si risolva a sua volta in un pericolo.  Pertanto l’Autorità garante prevedeva:

  • di inquadrare gli amministratori di sistema nell’ambito soggettivo di Responsabili del trattamento;
  • di verificare le attività degli amministratori di sistema. L’operato degli amministratori di sistema, a mente del provvedimento, doveva essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Inoltre, il provvedimento affrontava anche i risvolti “lavoristici” della designazione degli amministratori di sistema, laddove la loro attività, anche solo indirettamente, potesse riguardare servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori; nel qual caso i titolari pubblici e privati, nella qualità di datori di lavoro, venivano chiamati a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. La cautela si spiega per l’osservanza degli obblighi che incombono sui Titolari in ragione dell’art. 4 dello Statuto dei lavoratori (Legge n. 300/1970), oggi modificato dal D.lgs. n. 151/2015, in merito al controllo a distanza dei lavoratori (e, in particolare, al divieto di controllo occulto).

Il comma 3 dell’articolo richiamato, come novellato, riconosce al Codice un ruolo essenziale laddove prevede che le informazioni raccolte in dipendenza dei trattamenti evidenziati dai primi commi dell’art. 4 dello Statuto dei lavoratori e che implicano un controllo, seppur preterintenzionale, del lavoratore “sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Le dette implicazioni si consumano, come anticipato, anche in relazione alle misure poste dal provvedimento in esame e l’eventuale inosservanza di quanto previsto dalla norma appena citata  non rimane senza conseguenze (cfr. artt. 113, 114 e 171  del Codice).

Esse non sono trascurate neanche dal Regolamento che all’art. 88 riconosce agli Stati membri la possibilità di prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. Tali norme possono includere, per espressa previsione della disposizione in commento, misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda il sistema di monitoraggio sul posto di lavoro.  Quindi il Regolamento lascia in materia ampio margine al potere legislativo nazionale che, ad oggi, per quanto in riferimento al nuovo art. 4 dello Statuto dei lavoratori combina la protezione del lavoratore e gli obblighi privacy (di trasparenza e controllo) in relazione a qualsiasi trattamento (non ultimo quello predicato dal provvedimento in esame) che possa essere considerato rischioso per i diritti degli interessati.

In attesa di intervento definitivo da parte del legislatore nazionale, non sembra possibile operare se non per via presuntiva in considerazione delle probabilità di corrispondenza e di conformità del provvedimento alle prescrizioni del Regolamento, seppur, in specie, le coincidenze sembrano alquanto plausibili per concludere per la sopravvivenza delle sue prescrizioni. Ovviamente senza alcuna superbia.