{"id":689,"date":"2010-04-27T14:19:50","date_gmt":"2010-04-27T13:19:50","guid":{"rendered":"http:\/\/blog.solution.it\/?p=689"},"modified":"2012-10-24T11:23:28","modified_gmt":"2012-10-24T10:23:28","slug":"amministratori-di-sistema-accetto-o-non-accetto","status":"publish","type":"post","link":"https:\/\/blog.solution.it\/?p=689","title":{"rendered":"Amministratori di sistema: accetto o non accetto?"},"content":{"rendered":"

Di Paolo Giardini e Mauro Alovisio<\/em><\/p>\n

Uno dei temi pi\u00f9 frequenti che emerge nella realt\u00e0 aziendali e anche\u00a0 durate i corsi di formazione privacy\u00a0\u00a0 riguarda\u00a0 la possibilit\u00e0\u00a0 degli amministratori di sistema di dimettersi dall\u2019incarico e\/o rifiutare l\u2019incarico.<\/p>\n

Se ne parla e se ne discute molto anche nei forum\u00a0 ma un punto fermo non lo abbiamo ancora visto da nessuna parte. Proviamo quindi a fare chiarezza, nei limiti del possibile, su questo tema: \u00e8 possibile rifiutare la nomina ad Amministratore di Sistema<\/em>?<\/p>\n

<\/p>\n

Tale domanda\u00a0 ricorre sovente\u00a0 sia nelle piccole e medie aziende ed \u00e8 indice in realt\u00e0 di disagi organizzativi e\/o un gap informativo.
\nIl provvedimento del Garante su amministratore di sistema pu\u00f2 rappresentare infatti\u00a0 una chance per diffondere in ambito aziendale la cultura della sicurezza informatica e per valorizzare le professionalit\u00e0 informatiche.
\nNon tutti possono svolgere la funzione di amministratore di sistema: il titolare e\/o il responsabile del trattamento devono\u00a0 attestare di avere valutato l’esperienza, la capacit\u00e0 e l’affidabilit\u00e0 dei soggetti designati quali “amministratore di sistema”.
\nL\u2019amministratore di sistema non \u00e8 solo un informatico ma deve anche fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
\n\u00c8 opportuno pertanto allegare un curriculum datato e firmato e riportare le specifiche delle esperienze maturate, i corsi di aggiornamento certificati: tale accorgimento semplice, rapido consente di avere un riscontro documentale in caso di ispezioni e\/o controlli.
\nNella designazione\u00a0 individuale di amministratore di sistema,\u00a0 il titolare \/responsabile deve descrivere le reali mansioni svolte dal soggetto. Le relazioni annuali sulle attivit\u00e0 devono pertanto rispettare il range, cio\u00e8 il campo di esistenza dei trattamenti descritti nella designazione.
\nLa designazione non pu\u00f2 essere un atto solo formale che\u00a0 \u00e8 calato dall\u2019alto ma deve essere condivisa all\u2019interno dell\u2019azienda: l\u2019amministratore costituisce infatti una pietra angolare della sicurezza informatica e della gestione aziendale.<\/p>\n

Prima di tutto si ritiene\u00a0 utile precisare che la nomina ad AdS differisce da quella ad “incaricato del trattamento” in quanto l’incaricato del trattamento di dati personali <\/em>\u00e8 in realt\u00e0 solo un “autorizzato” all’utilizzo dei dati personali o meglio: la nomina ad incaricato del trattamento \u00e8 la formalizzazione di una situazione di fatto<\/strong>.
\nIn questo caso il rifiuto della nomina ad “incaricato del trattamento”\u00a0 \u00e8 impossibile in pratica perch\u00e9:<\/p>\n

a) rifiutando la nomina ad “incaricato” il lavoratore non\u00a0 potrebbe\u00a0 adempiere ai propri compiti, dato che solo gli incaricati possono avere accesso a dati personali<\/p>\n

b) essendo\u00a0 per legge (cc art. 2086)\u00a0 il dipendente\u00a0 sottoposto all’autorit\u00e0 del datore di lavoro non pu\u00f2 sottrarsi dall’attendere alle disposizioni ricevute<\/p>\n

(si tralascia per semplicit\u00e0\u00a0 tutta la parte di formazione, definizione dell’ambito, ecc. legate alla qualifica di “incaricato del trattamento”).<\/p>\n

Al contrario\u00a0 l’AdS \u00e8 una figura tecnica che in teoria pu\u00f2 non essere presente nell’organizzazione; esistono infatti delle situazioni previste dal provvedimento per le quali la nomina dell’Ads non \u00e8 richiesta. Una nomina ad AdS effettuata solo “perch\u00e9 deve esserci un AdS e non c’\u00e8 nessun altro<\/em>” non ha alcun senso. All\u2019interno dell\u2019azienda ci possono essere molteplici scenari: \u00e8 gi\u00e0 presente un amministratore, non \u00e8 stato designato un amministratore, non \u00e8 possibile designare un amministratore per carenze di professionalit\u00e0 interne e si ricorre all\u2019esterno. Se in azienda tutta la manutenzione viene delegata a terzi esterni, significa che all’interno non \u00e8 presente personale con adeguata esperienza<\/strong> e capacit\u00e0,<\/strong> caratteristiche queste\u00a0 delle quali viene espressamente richiesta\u00a0 la valutazione\u00a0 dal provvedimento\u00a0 affinch\u00e9 un AdS possa essere qualificato come tale.<\/p>\n

La mancata od errata applicazione della norma che richiede la valutazione preventiva comporta il rischio di sanzioni per culpa in eligendo<\/strong> (cc. art. 2049),\u00a0 ad esempio nel caso in cui per imperizia il dipendente\u00a0 nominato AdS\u00a0 commetta azioni o errori che implichino danni ai dati personali ai sensi del D.lgs 196\/2003. Sono inoltre\u00a0 possibili sanzioni per falso e inadempienza a provvedimenti del garante (oltre a varie ed eventuali ulteriori violazioni).<\/p>\n

Le nomine ad AdS devono comunque riflettere gli effettivi compiti espletati, in quanto le mansioni affidate devono essere elencate nel documento di nomina.<\/p>\n

Se ad esempio venisse redatta una lettera di incarico che preveda la gestione dei sistemi informatici per un impiegato del settore amministrativo (quindi con specifiche competenze relative solo al proprio settore), oltre ai guai che si\u00a0 rischiano per ‘culpa in eligendo’, si possono travalicare i limiti delle mansioni previste dal contratto di lavoro. E’ quindi importante verificare l’inquadramento della figura designata come AdS, le mansioni svolte, il contratto di lavoro ed il contratto collettivo, in special modo negli enti pubblici.<\/p>\n

Si rammenta in proposito quanto disposto dall’art. 2103 cc. che prevede non solo che un cambio di mansioni non deve comportare una qualifica inferiore a quella posseduta dal lavoratore, ma anche che nel caso vengano affidate mansioni superiori (e relative responsabilit\u00e0),\u00a0 il lavoratore ha diritto al trattamento corrispondente a tale mansione. Esistono quindi\u00a0 i presupposti per la rinegoziazione contrattuale del ruolo\u00a0 e del compenso e non sarebbe assolutamente fuori luogo prevedere una forma di copertura assicurativa per chi ricopre il ruolo di AdS nei confronti dei rischi che tale attivit\u00e0 comporta.<\/p>\n

La designazione di amministratore di sistema\u00a0 \u00e8 un adempimento privacy che\u00a0 richiede una sinergia reale fra diverse funzioni all\u2019interno dell\u2019azienda quali:\u00a0 Ufficio personale, patrimonio, ufficio informatico e l\u2019ufficio formazione, un adempimento che non pu\u00f2 e non deve essere sottovalutato.<\/p>\n

La risposta definita\u00a0 alla domanda che ci siamo posti all’inizio sul rifiuto a svolgere le mansioni di amministratore di sistema\u00a0 dunque non esiste ed ogni caso va valutato a se. In generale possiamo dire che il datore di lavoro ha diritto di cambiare le mansioni di un dipendente se ricorrono le situazioni previste, ma effettuando la nomina ad AdS di un soggetto che non risponda alle qualit\u00e0 di esperienza, capacit\u00e0 ed affidabilit\u00e0 richieste commette un illecito ed il lavoratore ha tutto il diritto di rappresentare tale situazione.<\/p>\n

La soluzione dei problemi \u00e8 mettere l\u2019amministratore di sistema nelle condizioni di operare al servizio dell\u2019azienda in modo efficace ed efficiente ed in particolare attraverso:<\/p>\n