Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Che fine ha fatto l’amministratore di sistema con il GDPR?

Stefano Gazzella : 3 Ottobre 2025 15:35

Ah, l’amministratore di sistema. Old but gold. Figura che nell’organigramma privacy risale ad un provvedimento del Garante Privacy del 27 novembre 2008, modificato il 25 giugno 2009 e rimasto pressoché intatto fino ad oggi. Il tutto, nonostante il nuovo quadro normativo introdotto dal GDPR e, soprattutto, le rilevanti modifiche del contesto tecnologico e del ruolo del sysadmin.

Certo, la definizione di amministratore di sistema pecca di un certo grado di vaghezza:

figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Il comune denominatore di questa categoria di operatori è però individuato nella capacità di accedere in modo privilegiato a risorse del sistema informativo e dati personali. Quindi si può dire che ci troviamo di fronte ad una definizione volutamente ampia. Molto ampia. Forse troppo.

Ma volendo guardare alla sostanza, il concetto che si segue è che da grandi poteri derivano grandi responsabilità. Le quali, però, in ragione del quadro normativo in materia di protezione dei dati personali, comportano precisi obblighi di gestione in capo al titolare del trattamento. Che si traducono in misure da adottare.

Tutti questi obblighi permangono con l’applicazione del GDPR per espressa previsione dell’art. 22 co. 4 d.lgs. 101/2018, il quale prevede che i provvedimenti del Garante continuino ad applicarsi in quanto compatibili con il Regolamento.

Anzi, possiamo dire che in questo caso, ne escono rafforzati nelle proprie coordinate essenziali.

La designazione dell’amministratore di sistema.

All’interno delle misure e accorgimenti prescritti all’interno del provvedimento, al punto 4.2 è previsto l’obbligo di designazione individuale di ciascuno dei soggetti che svolgono le funzioni di amministratore di sistema, con l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Questa misura non è altro che una specificazione delle disposizioni degli artt. 29 e 32 par. 4 GDPR, che, rispettivamente, prevedono l’obbligo per il titolare di istruire i soggetti autorizzati all’accesso e di controllare che i soli soggetti istruiti abbiano accesso ai dati personali e svolgano operazioni di trattamento. Più in generale rientrano nelle misure organizzative di cui deve dotarsi il titolare per garantire un livello di sicurezza adeguato dei trattamenti.

In particolare, la designazione dell’amministratore di sistema è riconducibile nell’attribuzione di funzioni e compiti prevista dall’art. 2-quaterdecies Codice Privacy. Che nei contenuti minimi deve avere quanto previsto all’interno del citato punto del provvedimento, andando così a chiarire l´ambito di operatività in termini generali, per settori o per aree applicative. A ciò devono poi essere aggiunte tutte le istruzioni necessarie allo svolgimento delle operazioni, andando a specificare quali sono consentite nonché le eventuali condizioni per svolgere determinate attività.

Nel caso in cui un responsabile del trattamento svolga attività come amministratore di sistema, l’accordo di cui all’art. 28 GDPR andrà così integrato con la precisazione degli obblighi del provvedimento ivi inclusa la designazione individuale di tali soggetti. Che per buona prassi è bene che il titolare fornisca come modello allegato.

Gestire gli amministratori di sistema.

Andando un passo oltre, gli obblighi specifici riguardanti gli amministratori di sistema rientrano in una gestione degli accessi e dei privilegi. Attenzione, però, a ricordare che le misure indicate determinano delle soglie minime, ma non è detto che siano sufficienti. Come ricorda il Garante Privacy, infatti, adottare le misure “a catalogo” non significa avere un livello di sicurezza adeguato. Questo è infatti possibile raggiungerlo e comprovarlo solo attraverso un’analisi dei rischi.

Il provvedimento indica alcuni punti fondamentali di gestione, quali:

  • la valutazione delle caratteristiche soggettive;
  • la designazione individuale;
  • la tenuta di un elenco aggiornato degli amministratori di sistema;
  • la verifica delle attività svolte;
  • la registrazione degli accessi.

Ciascuno di questi aspetti è bene che venga approfondito e declinato correttamente, tenendo conto del contesto organizzativo e secondo quell’approccio risk-based su cui si fonda il sistema del GDPR.

Insomma: gli amministratori di sistema continuano ad esistere anche con il GDPR e la gestione del loro operato è e rimane una responsabilità ineliminabile in capo al titolare del trattamento.

Responsabilità che permane nonostante qualsivoglia clausola di esenzione o limitazione di responsabilità si voglia imporre o far sottoscrivere, perché deriva direttamente dal Regolamento il quale non ammette alcuna deroga a riguardo.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Oltre lo schermo: l’evento della Polizia Postale per una vita sana oltre i social
Di Marcello Filacchioni - 03/10/2025

La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...

Ti offrono 55.000 euro per l’accesso al tuo Account dell’ufficio. Cosa dovresti fare?
Di Redazione RHC - 03/10/2025

Il giornalista della BBC Joe Tidy si è trovato in una situazione solitamente nascosta nell’ombra della criminalità informatica. A luglio, ha ricevuto un messaggio inaspettato sull’app di messagg...

Allarme CISA: il bug Sudo colpisce Linux e Unix! Azione urgente entro il 20 ottobre
Di Redazione RHC - 03/10/2025

Il Cyberspace and Infrastructure Security Center (CISA), ha recentemente inserito la vulnerabilità critica nell’utility Sudo al suo elenco KEV (Actively Exploited Vulnerabilities ). Questo di fatto...

Lavoro e intelligenza artificiale: stipendi in aumento per chi usa l’IA?
Di Redazione RHC - 03/10/2025

In questo periodo il dibattito sull’intelligenza artificiale applicata al mondo del lavoro è sempre più intenso, segno evidente di come la tecnologia digitale stia trasformando radicalmente modali...

Microsoft si butta sulle scarpe! Lanciate le Crocs da collezione a tema Windows XP
Di Redazione RHC - 02/10/2025

Quest’anno Microsoft celebra i suoi primi 50 anni, un traguardo che riflette la trasformazione dell’azienda da piccola start-up nel 1975 a colosso globale della tecnologia. Fondata da Bill Gates e...