Amministratori Di Sistema: Falso Problema

GDPR e amministratori di sistema: ecco perché è un falso problema - Cyber Securi Page 1 of 13
SERVIZI
 Cybersecurity Nazionale
ACCEDI M
GDPR e amministratori di Cultura cyber News analys
sistema: ecco perché è un

falso problema
HomeNorme e adeguamentiPrivacy e Dati personali
Condividi questo articolo
Ȍ ̻ Մ ֣ Ǯ ̷
Per affrontare correttamente il tema degli

amministratori di sistema nell’ambito della data
protection è utile adottare due differenti punti di vista:
prima e dopo l’entrata in vigore del GDPR. Una lettura
Җ normativa ci guiderà in tal
letterale della senso nel
Condividi Articoli correlati
raggiungimento di una piena conformità

2 giorni fa
GDPR eGiancarlo
amministratori
Butti
di sistema: ecco perché è un falso
B Internal Auditor - Esperto Privacy e Cyber Security
problema
https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-e-amministratori-di... 01/12/2021
SERVIZI
ACCEDI M
Cultura cyber News analys
Җ 

del Garante Privacy sugli amministratori di
sistema soffre dalle sue origini di una eccessiva enfasi e
GDPR e amministratori di sistema: ecco perché è un falso
costituisce un esempio emblematico di come la mancata lettura del
problema
testo di legge da parte di chi è tenuto a rispettarlo abbia portato a
appliance[1].
In termini pratici, infatti, il contributo alla protezione dei dati SERVIZI
personali di tale provvedimento era decisamente molto basso; là

ACCEDI M
quali amministratori di sistema dovevano essere registrate e

periodicamente controllate alcune informazioni.
Tali informazioni riguardavano unicamente il login, il logout e i

tentativi di accesso ai sistemi da parte dei sopra citati soggetti; nulla
circa le attività svolte dopo essersi collegati doveva essere
registrato.
Ma vediamo ora quale fosse il reale perimetro di applicazione del

provvedimento.
Җ 

problema
SERVIZI
ACCEDI M
Amministratore di sistema, chi è, che fa e la nomina

alla luce del Gdpr
4 Luglio 2018
di Patrizia Beraldi
Agenda Digitale
Җ 
Indice degli argomenti 


Gli amministratori di sistema prima del GDPR
L’applicazione post GDPR
problema
SERVIZI
WHITEPAPER
ACCEDI M
digitali che mettono in Cultura cyber News analys

pericolo le vendite al
dettaglio?
Retail Sicurezza
Leggi l'informativa sulla privacy
Email
Email aziendale
Consente all’invio di materiale promozionale, compimento di ricerche di mercato o di

comunicazioni commerciali con modalità di contatto automatizzate e tradizionali delle
Contitolari per conto di terzi (senza comunicazione dei dati ai medesimi) che
appartengono al ramo manifatturiero, di servizi (in particolare ICT) e di commercio.
SCARICA IL WHITEPAPER
Misure e accorgimenti prescritti ai titolari dei trattamenti

effettuatiҖ
con strumenti elettronici
Condividi

Articoli correlati
Di seguito sono indicati gli accorgimenti e le misure che

vengono prescritti ai sensi dell’art. 154, comma 1, lett. c) del
GDPR eCodice, a tutti i titolari

amministratori dei trattamenti
di sistema: di dati èpersonali
ecco perché un falsoeffettuati
problema
con strumenti elettronici, esclusi, allo stato, quelli effettuati in
ambito pubblico e privato a fini amministrativo-contabili che,
In altre parole sono esclusi dal provvedimento i trattamenti SERVIZI
amministrativo-contabili.
ACCEDI M
Ma quali sono dunque i trattamenti ai quali non si applica il
provvedimento sugli amministratori di sistema? Cultura cyber News analys
La definizione di cosa sia un trattamento amministrativo contabile si

ritrova nel D.lgs 196/03 (pre GDPR) che, recita:
1-ter. Ai fini dell’applicazione delle disposizioni in materia di

protezione dei dati personali, i trattamenti effettuati per finalità
amministrativo-contabili sono quelli connessi allo svolgimento
delle attività di natura organizzativa, amministrativa,
finanziaria e contabile, a prescindere dalla natura dei dati
trattati. In particolare, perseguono tali finalità le attività
organizzative interne, quelle funzionali all’adempimento di
obblighi contrattuali e precontrattuali, alla gestione del
rapporto di lavoro in tutte le sue fasi, alla tenuta della
contabilità e all’applicazione delle norme in materia fiscale,

sindacale, previdenziale-assistenziale, di salute,igiene e
sicurezza sul lavoro.


Appare evidente che, in base alla definizione dell’art. 34 1-ter, sono
ben pochi i normali ambiti aziendali che potrebbero non rientrare in
problema
tale definizione.
amministratori di sistema non si applicava alla maggior parte delle

SERVIZI
organizzazioni.
ACCEDI M
Ma vi sono ulteriori elementi che limitavano fortemente l’applicabilità
del provvedimento. Cultura cyber News analys
Lo stesso, infatti, non prende in considerazione tutti i soggetti che a

vario titolo operano con privilegi amministrativi.
Non rientrano infatti nella definizione quei soggetti che solo

occasionalmente intervengono (p.es., per scopi di
manutenzione a seguito di guasti o malfunzioni) sui sistemi di
elaborazione e sui sistemi software (FAQ Garante).
Ma vi un aspetto ancor più importante da considerare.
Per essere designato amministratore di sistema, oltre alle

caratteristiche oggettive (avere dei privilegi amministrativi) un
soggetto deve anche avere delle caratteristiche soggettive non
banali:
 
Condividi
4.1 Valutazione delle caratteristiche soggettive
Articoli correlati
GDPR eavvenire previa valutazione dell’esperienza, della capacità e

amministratori di sistema: ecco perché è un falso
dell’affidabilità del soggetto designato, il quale deve fornire
problema
idonea garanzia del pieno rispetto delle vigenti disposizioni in
sistema o assimilate sono attribuite solo nel quadro di una
30 del Codice, il titolare e il responsabile devono attenersi SERVIZI
comunque a criteri di valutazione equipollenti a quelli richiesti

ACCEDI M
In altre parole, se nelle poche situazioni nelle quali siCultura

applicava
cyber ilNews analys
provvedimento i soggetti che operavano con privilegi amministrativi

non avevano le caratteristiche previste dall’art. 4.1 qui riportato, gli
stessi non erano designabili quali amministratori di sistema e quindi
non era applicabile la registrazione dei loro log.
Da tutto quanto sopra appare evidente come l’enfasi data a tale

provvedimento è assolutamente ingiustificata e solo un numero
molto residuale di organizzazioni dovevano rispettarlo, oltretutto
limitatamente ad alcune finalità di trattamento.
Ma cosa succede se anche in assenza di un obbligo veniva

comunque effettuata una registrazione dei log previsti dal
provvedimento o se tali log venivano registrati anche relativamente
alle finalità amministrativo-contabili?
 
In realtà tale attività, comportando un trattamento di dati personali

avrebbe richiesto una specifica base giuridica, diversa dall’obbligo di
legge, che nel caso presentato era assente, da esplicitare nella
problema
informativa rilasciata agli amministratori di sistema.
In altre parole le normativa privacy è complessa e pericolosa e non si

SERVIZI
può improvvisare.
ACCEDI M
Non bisogna essere più bravi di quanto richiesto; l’incompetenza
non è tollerata. Cultura cyber News analys
L’applicazione post GDPR
Visto quanto sopra esposto perché ci poniamo il problema della sua

applicabilità oggi?
La situazione è radicalmente cambiata e a dire il vero potremmo

anche dimenticarci di questo provvedimento nella sua formulazione
originale.
Come evidenziato nel precedente articolo Le misure di sicurezza nel

GDPR: quali sono, come applicarle, costi di attuazione gli aspetti
relativi alle misure di sicurezza nel GDPR sono descritte in più articoli
e specifiche misure obbligatorie sono citate sono negli art. 25.2 e
32.4.
 
In particolare l’articolo 25.2, obbligando a minimizzare il numero dei

profilazione e la predisposizione di misure di autenticazione e

autorizzazione all’accesso.
problema
Tali misure, in ogni caso, non possono garantire un accesso lecito ai
In altre parole si limitano ad individuare chi è autorizzato
Affinché il suo accesso sia anche lecito (cioè acceda ai dati solo seSERVIZI
effettivamente lo deve fare per svolgere la sua attività), sarà
ACCEDI M
In altre parole, un dipendente che non sia dell’ufficioCultura

paghe, ma che
cyber News analys
sia ad esempio dell’audit, commette a tutti gli effetti un illecito (e in

realtà una violazione di dati personali la cui gravità è legata, in
prima istanza, ai possibili impatti per i soggetti i cui dati sono stati
violati), se accede ai dati dello stipendio dei colleghi per pura
curiosità.
Le ulteriori misure di sicurezza da predisporre difficilmente potranno

essere preventive (ad esempio una richiesta di autorizzazione al
proprio capo che sblocchi l’accesso ai dati ogni volta che sia
necessario) e pertanto potranno basarsi, ad esempio, su un controllo
a posteriori dei log di accesso (come fra gli altri prescritto, proprio a
tale scopo, da un altro provvedimento dell’Autorità Garante nei
confronti delle banche).

Un log moltoCondividi 
più ricco di quello previsto dal provvedimento sugli
Articoli correlati
amministratori di sistema, che oltre al log in e log out comprende


anche l’attività effettuata dall’utente sui dati.

Quindi il provvedimento sugli amministratori di sistema è
problema
largamente superato dall’art. 25.2, in quanto anche la loro attività (e
comporta, nella maggior parte dei casi, l’attivazione di un accordoSERVIZI

sindacale ai sensi della legge 300/70.
ACCEDI M
Il rispetto di un obbligo normativo non autorizza, infatti, a violare
un’altra normativa. Cultura cyber News analys
Dell’originario provvedimento sugli amministratori di sistema

resteranno pertanto, là dove applicabili secondo quanto descritto
nella prima parte di questo articolo, gli aspetti relativi alla
designazione (visto che la verifica periodica è comunque un’attività
necessaria per garantire che l’accesso ai dati da parte dei soggetti
autorizzati (e non solo degli amministratori di sistema) sia lecita).
NOTE
1. Si veda al riguardo il mio articolo: Ulisse, le sirene e la

conoscenza. ↑
 

WHITEPAPER

Perché impostare una
problema
strategia di manutenzione
E-mail aziendale SERVIZI
Consente l'invio di comunicazioni promozionali inerenti i prodotti e servizi di soggetti

ACCEDI M
da parte dei terzi medesimi, a cui vengono comunicati i dati.

SCARICA IL WHITE PAPER
@RIPRODUZIONE RISERVATA
Articolo 1 di 5
Seguici  
About Autori Tags Rss Feed Privacy Cookie Cookie Center
NetworkDigital360 è il più grande network in Italia di testate e portali B2B dedicati ai temi
della Trasformazione Digitale e dell’Innovazione Imprenditoriale. Ha la missione di diffondere
la cultura digitale e imprenditoriale nelle imprese e pubbliche amministrazioni italiane.
TUTTE LE TESTATE
 
Applicazioni e Tecnologie

BIGDATA4INNOVATION
BIG DATA & ANALITYCS ZEROUNO
BLOCKCHAIN4INNOVATION
problema
CLOUD COMPUTING ZEROUNO
CYBERSECURITY CORCOM
CYBERSECURITY360
ESG360
FATTURAZIONE AGENDADIGITALE.EU
INFRASTRUTTURE AGENDADIGITALE.EU 
INTERNET4THINGS
SERVIZI
PAGAMENTIDIGITALI
RISKMANAGEMENT360
 ZEROUNO Cybersecurity Nazionale

ACCEDI M
SEARCHSECURITY ZEROUNO
SICUREZZA AGENDADIGITALE.EU
SMART CITY AGENDADIGITALE.EU Cultura cyber News analys
SMART MOBILITY ECONOMYUP
Indirizzo
Via Copernico, 38
Milano - Italia
CAP 20125
Contatti
INFO@DIGITAL360.IT
ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA

05710080960 - © 2021 ICT&Strategy. ALL RIGHTS RESERVED
Mappa del sito
 

problema

Amministratori Di Sistema: Falso Problema

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Amministratori Di Sistema: Falso Problema

Caricato da

Copyright:

Formati disponibili

GDPR e amministratori di sistema: ecco perché è un falso problema - Cyber Securi Page 1 of 13

GDPR e amministratori di Cultura cyber News analys

sistema: ecco perché è un

Condividi questo articolo

Per affrontare correttamente il tema degli

Cultura cyber News analys

In termini pratici, infatti, il contributo alla protezione dei dati SERVIZI

personali di tale provvedimento era decisamente molto basso; là

quali amministratori di sistema dovevano essere registrate e

Tali informazioni riguardavano unicamente il login, il logout e i

Ma vediamo ora quale fosse il reale perimetro di applicazione del

GDPR e amministratori di sistema: ecco perché è un falso

Cultura cyber News analys

Amministratore di sistema, chi è, che fa e la nomina

Indice degli argomenti 

digitali che mettono in Cultura cyber News analys

Leggi l'informativa sulla privacy

Consente all’invio di materiale promozionale, compimento di ricerche di mercato o di

Misure e accorgimenti prescritti ai titolari dei trattamenti

GDPR eCodice, a tutti i titolari

In altre parole sono esclusi dal provvedimento i trattamenti SERVIZI

La definizione di cosa sia un trattamento amministrativo contabile si

1-ter. Ai fini dell’applicazione delle disposizioni in materia di

sicurezza sul lavoro.

amministratori di sistema non si applicava alla maggior parte delle

Lo stesso, infatti, non prende in considerazione tutti i soggetti che a

Non rientrano infatti nella definizione quei soggetti che solo

Ma vi un aspetto ancor più importante da considerare.

Per essere designato amministratore di sistema, oltre alle

GDPR eavvenire previa valutazione dell’esperienza, della capacità e

sistema o assimilate sono attribuite solo nel quadro di una

30 del Codice, il titolare e il responsabile devono attenersi SERVIZI

comunque a criteri di valutazione equipollenti a quelli richiesti

In altre parole, se nelle poche situazioni nelle quali siCultura

provvedimento i soggetti che operavano con privilegi amministrativi

Da tutto quanto sopra appare evidente come l’enfasi data a tale

Ma cosa succede se anche in assenza di un obbligo veniva

In altre parole le normativa privacy è complessa e pericolosa e non si

L’applicazione post GDPR

Visto quanto sopra esposto perché ci poniamo il problema della sua

La situazione è radicalmente cambiata e a dire il vero potremmo

Come evidenziato nel precedente articolo Le misure di sicurezza nel

profilazione e la predisposizione di misure di autenticazione e

Tali misure, in ogni caso, non possono garantire un accesso lecito ai

In altre parole si limitano ad individuare chi è autorizzato

In altre parole, un dipendente che non sia dell’ufficioCultura

sia ad esempio dell’audit, commette a tutti gli effetti un illecito (e in

Le ulteriori misure di sicurezza da predisporre difficilmente potranno

amministratori di sistema, che oltre al log in e log out comprende

GDPR e amministratori di sistema: ecco perché è un falso

comporta, nella maggior parte dei casi, l’attivazione di un accordoSERVIZI

Dell’originario provvedimento sugli amministratori di sistema

1. Si veda al riguardo il mio articolo: Ulisse, le sirene e la

GDPR e amministratori di sistema: ecco perché è un falso

E-mail aziendale SERVIZI

Consente l'invio di comunicazioni promozionali inerenti i prodotti e servizi di soggetti

Cultura cyber News analys

About Autori Tags Rss Feed Privacy Cookie Cookie Center

 ZEROUNO Cybersecurity Nazionale

SMART MOBILITY ECONOMYUP

ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA

GDPR e amministratori di sistema: ecco perché è un falso

Potrebbero piacerti anche