La figura dell'amministratore di sistema, introdotta dal d.P.R. 318/1999 e poi misteriosamente scomparsa nel D.Lgs. 196/2003, torna prepotentemente di moda in seguito a un provvedimento del Garante dei dati personali.

Ovviamente gli amministratori di sistema, seppur non citati direttamente dalla norma, non sono mai scomparsi davvero nella realtà della quotidiana gestione dei sistemi informatici e dei dati da essi gestiti. Ora il Garante fissa per loro dei nuovi criteri, elencando questioni e adempimenti ovvi assieme a novità piuttosto importanti e non sempre semplici da mettere in pratica.

Per adeguarsi alle nuove direttive, il Garante pone anche una scadenza per fine aprile 2009 (ora prorogata al 30 giugno 2009).

Il Garante fissa sostanzialmente 6 punti da rispettare:

• Valutazione delle caratteristiche soggettive
• Designazioni individuali
• Elenco degli amministratori di sistema
• Servizi in outsourcing
• Verifica delle attività
• Registrazione degli accessi

La valutazione delle caratteristiche soggettive spetta ovviamente al titolare del trattamento, il quale verifica che il soggetto che svolge l'attività di Amministratore di sistema possieda le necessarie caratteristiche di esperienza e affidabilità. Fin qui nessun problema: chi affiderebbe la delicata gestione dei propri sistemi a persone che si crede non rispondano a queste caratteristiche?

La designazione individuale, per quanto nuova, non comporterà particolari problemi, se non quelli di dover definire per ciscuno, per le organizzazioni che hanno più figure di amministratori, compiti e ruoli precisi e mettere tutto ciò per iscritto. Magari sarà un nuovo lavoro da aggiungere all'annuale DPS, una chiarezza sui compiti e le responsabilità affidate alle singole persone non può che essere positiva. Lo stesso discorso vale per la pubblicità all'interno dell'organizzazione riguardo all'elenco degli amministratori di sistema.

Altra novità da tener presente è il fatto che nel caso di servizi in outsourcing, dove l'amministratore di sistema non è un dipendente diretto dell'azienda, ma una ditta o un professionista esterno al quale viene affidato l'incarico, il titolare del trattamento deve mantenere un elenco nominativo delle persone fisiche alle quali è stato affidato l'incarico. Non è quindi più sufficiente identificare come amministratore di sistema la ditta che fornisce il servizio in outsourcing, ma dovranno essere specificate le persone fisiche.

La verifica delle attività degli amministratori, che deve essere svolta almeno con cadenza annuale dal titolare del trattamento, è, per quanto teoricamente sacrosanta, nella pratica particolarmente complicata, considerato che di solito gli amministratori di sistema svolgono una attività spesso incomprensibile nelle sue logiche e nelle sue dinamiche per il resto dell'organizzazione e in particolare per le figure apicali.

L'ultima novità importante è di tipo tecnico e comporterà in molti casi diversi problemi di interpretazione e di implementazione pratica: è prevista infatti l'adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, devono comprendere riferimenti temporali e  descrizione dell'evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.