Amministratori di sistema: accetto o non accetto?

Amministratori di sistema: accetto o non accetto?

Di Paolo Giardini e Mauro Alovisio

Uno dei temi più frequenti che emerge nella realtà aziendali e anche  durate i corsi di formazione privacy   riguarda  la possibilità  degli amministratori di sistema di dimettersi dall’incarico e/o rifiutare l’incarico.

Se ne parla e se ne discute molto anche nei forum  ma un punto fermo non lo abbiamo ancora visto da nessuna parte. Proviamo quindi a fare chiarezza, nei limiti del possibile, su questo tema: è possibile rifiutare la nomina ad Amministratore di Sistema?

Tale domanda  ricorre sovente  sia nelle piccole e medie aziende ed è indice in realtà di disagi organizzativi e/o un gap informativo.
Il provvedimento del Garante su amministratore di sistema può rappresentare infatti  una chance per diffondere in ambito aziendale la cultura della sicurezza informatica e per valorizzare le professionalità informatiche.
Non tutti possono svolgere la funzione di amministratore di sistema: il titolare e/o il responsabile del trattamento devono  attestare di avere valutato l’esperienza, la capacità e l’affidabilità dei soggetti designati quali “amministratore di sistema”.
L’amministratore di sistema non è solo un informatico ma deve anche fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
È opportuno pertanto allegare un curriculum datato e firmato e riportare le specifiche delle esperienze maturate, i corsi di aggiornamento certificati: tale accorgimento semplice, rapido consente di avere un riscontro documentale in caso di ispezioni e/o controlli.
Nella designazione  individuale di amministratore di sistema,  il titolare /responsabile deve descrivere le reali mansioni svolte dal soggetto. Le relazioni annuali sulle attività devono pertanto rispettare il range, cioè il campo di esistenza dei trattamenti descritti nella designazione.
La designazione non può essere un atto solo formale che  è calato dall’alto ma deve essere condivisa all’interno dell’azienda: l’amministratore costituisce infatti una pietra angolare della sicurezza informatica e della gestione aziendale.

Prima di tutto si ritiene  utile precisare che la nomina ad AdS differisce da quella ad “incaricato del trattamento” in quanto l’incaricato del trattamento di dati personali è in realtà solo un “autorizzato” all’utilizzo dei dati personali o meglio: la nomina ad incaricato del trattamento è la formalizzazione di una situazione di fatto.
In questo caso il rifiuto della nomina ad “incaricato del trattamento”  è impossibile in pratica perché:

a) rifiutando la nomina ad “incaricato” il lavoratore non  potrebbe  adempiere ai propri compiti, dato che solo gli incaricati possono avere accesso a dati personali

b) essendo  per legge (cc art. 2086)  il dipendente  sottoposto all’autorità del datore di lavoro non può sottrarsi dall’attendere alle disposizioni ricevute

(si tralascia per semplicità  tutta la parte di formazione, definizione dell’ambito, ecc. legate alla qualifica di “incaricato del trattamento”).

Al contrario  l’AdS è una figura tecnica che in teoria può non essere presente nell’organizzazione; esistono infatti delle situazioni previste dal provvedimento per le quali la nomina dell’Ads non è richiesta. Una nomina ad AdS effettuata solo “perché deve esserci un AdS e non c’è nessun altro” non ha alcun senso. All’interno dell’azienda ci possono essere molteplici scenari: è già presente un amministratore, non è stato designato un amministratore, non è possibile designare un amministratore per carenze di professionalità interne e si ricorre all’esterno. Se in azienda tutta la manutenzione viene delegata a terzi esterni, significa che all’interno non è presente personale con adeguata esperienza e capacità, caratteristiche queste  delle quali viene espressamente richiesta  la valutazione  dal provvedimento  affinché un AdS possa essere qualificato come tale.

La mancata od errata applicazione della norma che richiede la valutazione preventiva comporta il rischio di sanzioni per culpa in eligendo (cc. art. 2049),  ad esempio nel caso in cui per imperizia il dipendente  nominato AdS  commetta azioni o errori che implichino danni ai dati personali ai sensi del D.lgs 196/2003. Sono inoltre  possibili sanzioni per falso e inadempienza a provvedimenti del garante (oltre a varie ed eventuali ulteriori violazioni).

Le nomine ad AdS devono comunque riflettere gli effettivi compiti espletati, in quanto le mansioni affidate devono essere elencate nel documento di nomina.

Se ad esempio venisse redatta una lettera di incarico che preveda la gestione dei sistemi informatici per un impiegato del settore amministrativo (quindi con specifiche competenze relative solo al proprio settore), oltre ai guai che si  rischiano per ‘culpa in eligendo’, si possono travalicare i limiti delle mansioni previste dal contratto di lavoro. E’ quindi importante verificare l’inquadramento della figura designata come AdS, le mansioni svolte, il contratto di lavoro ed il contratto collettivo, in special modo negli enti pubblici.

Si rammenta in proposito quanto disposto dall’art. 2103 cc. che prevede non solo che un cambio di mansioni non deve comportare una qualifica inferiore a quella posseduta dal lavoratore, ma anche che nel caso vengano affidate mansioni superiori (e relative responsabilità),  il lavoratore ha diritto al trattamento corrispondente a tale mansione. Esistono quindi  i presupposti per la rinegoziazione contrattuale del ruolo  e del compenso e non sarebbe assolutamente fuori luogo prevedere una forma di copertura assicurativa per chi ricopre il ruolo di AdS nei confronti dei rischi che tale attività comporta.

La designazione di amministratore di sistema  è un adempimento privacy che  richiede una sinergia reale fra diverse funzioni all’interno dell’azienda quali:  Ufficio personale, patrimonio, ufficio informatico e l’ufficio formazione, un adempimento che non può e non deve essere sottovalutato.

La risposta definita  alla domanda che ci siamo posti all’inizio sul rifiuto a svolgere le mansioni di amministratore di sistema  dunque non esiste ed ogni caso va valutato a se. In generale possiamo dire che il datore di lavoro ha diritto di cambiare le mansioni di un dipendente se ricorrono le situazioni previste, ma effettuando la nomina ad AdS di un soggetto che non risponda alle qualità di esperienza, capacità ed affidabilità richieste commette un illecito ed il lavoratore ha tutto il diritto di rappresentare tale situazione.

La soluzione dei problemi è mettere l’amministratore di sistema nelle condizioni di operare al servizio dell’azienda in modo efficace ed efficiente ed in particolare attraverso:

  • una  designazione oculata di un amministratore di sistema qualificato e con la descrizione delle mansioni effettivamente svolte
  • l’organizzazione del lavoro e dei processi aziendali e la razionale  distribuzione dei carichi di lavoro
  • formazione  certificata e aggiornamento professionale
  • la crescita delle risorse interne  attraverso percorsi di progressioni  di carriere (riconoscendo alla designazione un valore ed un peso specifico nella valutazione) e  introduzione del concetto di  merito, cosa che nella PA si sta in qualche modo attuando.

Che ne pensate?

la nomina ad AdS differisce da quella come incaricato del trattamento
in quanto l'incaricato è in realtà solo un "autorizzato" all'utilizzo
dei dati personali o meglio la nomina ad incaricato del trattamento è la
formalizzazione di una situazione di fatto. Il rifiuto in pratica è
impossibile perché a) non si potrebbe adempiere ai propri compiti e b)
per legge il dipendente è sottoposto all'autorità del datore di lavoro
(tralascio per semplicità  tutta la parte di formazione, definizione
dell'ambito, ecc.). Al contrario  l'AdS è una figura tecnica che in
teoria può non essere presente nell'organizzazione

5 thoughts on “Amministratori di sistema: accetto o non accetto?

  1. Calogero Bonasia

    ottimo spunto, in effetti anche io non molto tempo fa avevo posto il “problema” in una lista tecnica, ma le risposte non sono andate oltre gli inviti, più o meno cortesi, di andare a “leggere” il decreto legislativo 196/2003.

  2. Luca de Grazia

    Concordo sul discorso che si debba sempre analizzare la situazione specifica; se l’AdS come persona fisica è inserito nell’ambito dell’organizzazione, si pone lo stesso discorso dell’incaricato.
    Se appartiene a soggetto giuridico esterno, va chiarito che ovviamente la “nomina” non è tale giuridicamente ma è una individuazione in capo al soggetto esterno che poi dovrà specificare chi siano le persone specificatamente preposte al ruolo (vedi chiarimenti del Garante e modifiche al provvedimento sul punto).
    In via generale tutto quello che concerne l’applicazione del D.Lgs. n.196/2003 (non della privacy per favore) va visto come “jus superveniens” da collegare ed inquadrare nell’ambito dei rapporti giuridici esistenti, tenendo presente che in alcuni casi il mancato rispetto della norma specifica (il D.Lgs. n.196/2003 appunto) potrebbe rendere nullo o annullabile l’intero contratto.
    Ho scritto qualcosa sull’argomento
    http://tinyurl.com/2vvobpc
    http://tinyurl.com/2vz8cs5
    http://tinyurl.com/36bwr9g

  3. Fabrizio

    Concordo pienamente con quanto scritto nell’articolo e sulla delicatezza della figura dell’AdS. Purtroppo nelle situazioni di aziende piccole o micro, il caso dell’amministrativo che di fatto si occupa anche di “sorvegliare” il funzionamento della piccola rete informatica è molto frequente. Spesso è la stessa persona incaricata di seguire la corretta esecuzione del backup, che crea il nuovo utente in caso di nuovi assunzioni ecc., replicando semplici passaggi che gli sono stati insegnati dal consulente informatico in fase di installazione del server. Non ritenendo corretto nominare tale soggetto Amministratore di Sistema, abbiamo pensato di adottare una lettera di incarico a Preposto all’amministrazione di sistema, con l’incarico di fungere da contatto e portavoce delle necessità aziendali verso i tecnici esterni che intervengono saltuariamente per risolverle, oppure agendo direttamente (magari con il supporto telefonico del consulente) per i casi più semplici.
    Certo l’architettura funzionerebbe meglio se il soggetto in questione avesse un’utenza dedicata per quando lavora sul server diversa da “administrator”…. ma far capire l’utilità e la necessità di tale differenziazione non è facile. Buon anno!

  4. Paolo Giardini Post author

    Se non riesci a definire la tua posizione ovvero ottenere una nomina con specificati i tuoi reali incarichi, puoi provare a spiegare che quella dell’AdS non è una figura obbligatoria.
    In extrema ratio, puoi fare una segnalazione al Garante Privacy.

  5. Giuseppe

    Gentili lettori,
    Mi sono deciso a scrivere su questo blog perché non riesco ad ottenere risposte alla mi delicat a situazione. Sono assunto presso un ente locale in qualità di istruttore informatico cat.1 senza nessuna responsabilità. Da un anno a questa parte il sindaco dell amministrazione mi ho nominato – senza il mio consenso – amministratore di sistema. Purtroppo sono l unico addetto al l ufficio CED e devo adeguatamente amministrare una rete complessa e non riesco a svolgere adeguatamente le mansioni definite dalla nomina. Tuttavia l amministrazione non accetta il mio rifiuto è mi obbliga ad avere la responsabilità senza nemmeno un un riscontro economico. A chi posso rivolgermi per far valere i miei diritti? Grazie a tutti per l aiuto