Garante per i dati personali - 27/11/2008 - n. 35398 Articolo unico1. Considerazioni preliminari. Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono pero' considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema cosi' ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attivita' sono, in molti casi, concretamente «responsabili» di specifiche fasi lavorative che possono comportare elevate criticita' rispetto alla protezione dei dati. Attivita' tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacita' di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; cio', anche quando l'amministratore non consulti «in chiaro» le informazioni medesime. La rilevanza, la specificita' e la particolare criticita' del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualita' di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615-ter) e di frode informatica (art. 640-ter), nonche' per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (articoli 635-bis e ter) e di danneggiamento di sistemi informatici e telematici (articoli 635-quater e quinques) di recente modifica (vedi nota 1) . La disciplina di protezione dei dati previgente al Codice del 2003 definiva l'amministratore di sistema, individuandolo quale «soggetto al quale e' conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione» [art. 1, comma 1, lettera c) decreto del Presidente della Repubblica n. 318/1999]. Il Codice non ha invece incluso questa figura tra le proprie definizioni normative. Tuttavia le funzioni tipiche dell'amministrazione di un sistema sono richiamate nel menzionato allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. Nel loro complesso, le norme predette mettono in rilievo la particolare capacita' di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attivita' per il cui svolgimento e' previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilita', professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli piu' delicati della «Societa' dell'informazione» (vedi nota 2) . Nel corso delle attivita' ispettive disposte negli ultimi anni dal Garante e' stato possibile rilevare quale importanza annettano ai ruoli di system administrator (e di network administrator o database administrator) la gran parte di aziende e di grandi organizzazioni pubbliche e private, al di la' delle definizioni giuridiche, individuando tali figure nell'ambito di piani di sicurezza o di documenti programmatici e designandoli a volte quali responsabili. In altri casi, non soltanto in organizzazioni di piccole dimensioni, si e' invece riscontrata, anche a elevati livelli di responsabilita', una carente consapevolezza delle criticita' insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico. Con il presente provvedimento il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessita' di prestare massima attenzione ai rischi e alle criticita' implicite nell'affidamento degli incarichi di amministratore di sistema. L'Autorita' ravvisa inoltre l'esigenza di individuare in questa sede alcune prime misure di carattere organizzativo che favoriscano una piu' agevole conoscenza, nell'ambito di organizzazioni ed enti pubblici e privati, dell'esistenza di determinati ruoli tecnici, delle responsabilita' connesse a tali mansioni e, in taluni casi, dell'identita' dei soggetti che operano quali amministratori di sistema in relazione ai diversi servizi e banche di dati. 2. Quadro di riferimento normativo. Nell'ambito del Codice il presente provvedimento si richiama, in particolare, all'art. 154, comma 1, lettera h), rientrando tra i compiti dell'Autorita' quello di promuovere la «conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalita', nonche' delle misure di sicurezza dei dati». La lettera c) del medesimo comma 1 prevede poi la possibilita', da parte del Garante, di prescrivere misure e accorgimenti, specifici o di carattere generale, che i titolari di trattamento sono tenuti ad adottare. 3. Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema. Ai sensi del menzionato art. 154, comma 1, lettera h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticita' del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessita' di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualita' di amministratore di sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Cio', tenendo in considerazione l'opportunita' o meno di tale attribuzione e le concrete modalita' sulla base delle quali si svolge l'incarico, unitamente alle qualita' tecniche, professionali e di condotta del soggetto individuato, da vagliare anche in considerazione delle responsabilita', specie di ordine penale e civile (articoli 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione. 4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici. Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lettera c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 6 novembre 2008). I seguenti accorgimenti e misure lasciano impregiudicata l'adozione di altre specifiche cautele imposte da discipline di settore per particolari trattamenti o che verranno eventualmente prescritte dal Garante ai sensi dell'art. 17 del Codice. Per effetto del presente provvedimento: 4.1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacita' e dell'affidabilita' del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. 4.2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operativita' consentiti in base al profilo di autorizzazione assegnato. 4.3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati [nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non e' tenuto a redigerlo, annotati comunque] in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attivita' degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualita' di datori di lavoro sono tenuti a rendere nota o conoscibile l'identita' degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Cio', avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione e' prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Cio', salvi i casi in cui tale forma di pubblicita' o di conoscibilita' non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema (1). 4.4. Verifica delle attivita'. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attivita' di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti (2). 4.5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilita' e possibilita' di verifica della loro integrita' adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. 5. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti gia' iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al piu' presto e comunque entro, e non oltre, il termine che e' congruo stabilire, in centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati. Tutto cio' premesso il Garante: 1. Ai sensi dell'art. 154, comma 1, lettera h) del Codice, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticita' del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sull'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Cio', tenendo in considerazione l'opportunita' o meno di tale attribuzione e le concrete modalita' sulla base delle quali si svolge l'incarico, unitamente alle qualita' tecniche, professionali e di condotta del soggetto individuato. 2. Ai sensi dell'art. 154, comma 1, lettera c) del Codice prescrive l'adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29, decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 6 novembre 2008): a) Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacita' e affidabilita' del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29; b) Designazioni individuali. La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operativita' consentiti in base al profilo di autorizzazione assegnato. c) Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati [nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non e' tenuto a redigerlo, annotati comunque] in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attivita' degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identita' degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Cio', avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Cio', salvi i casi in cui tali forme di pubblicita' o di conoscibilita' siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore;(3) d) Servizi in outsourcing. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema (4); e) Verifica delle attivita'. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attivita' di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti (5). f) Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilita' e possibilita' di verifica della loro integrita' adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi (6). 3. Dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti gia' iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al piu' presto e comunque entro, e non oltre, il termine che e' congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati. 3 bis. dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lettera d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali (7). 4. Dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia - Ufficio pubblicazione leggi e decreti per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. (1) Punto modificato dall'articolo unico del Provvedimento 25 giugno 2009. (2) Punto modificato dall'articolo unico del Provvedimento 25 giugno 2009. (3) Lettera modificata dall'articolo unico del Provvedimento 25 giugno 2009. (4) Lettera modificata dall'articolo unico del Provvedimento 25 giugno 2009. (5) Lettera modificata dall'articolo unico del Provvedimento 25 giugno 2009. (6) A norma dell'articolo unico del Provvedimento 25 giugno 2009, i termini per l'adempimento delle prescrizioni di cui al punto 2 del presente provvedimento sono prorogati al 15 dicembre 2009 . (7) Punto aggiunto dall'articolo unico del Provvedimento 25 giugno 2009. InquadramentoNella normativa italiana in materia di protezione dei dati personali, la figura dell'amministratore di sistema (AdS) ha ricevuto la sua prima consacrazione formale nel 1999, nella quale l'AdS è stato descritto come “il soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione”. In questo senso, l'Italia si è distinta come uno dei primi paesi europei a regolamentare e delimitare giuridicamente questa figura professionale, di importanza fondamentale nell'ambito del diritto dei dati e delle nuove tecnologie, riconoscendo la peculiarità e il valore intrinseco degli AdS. Pur non essendo esplicitamente definita nel Codice del 2003, la figura dell'AdS è tornata prepotentemente in primo piano con l'emanazione del Provvedimento del 27 novembre 2008 da parte del Garante per la Protezione dei Dati Personali. Questo atto normativo, intitolato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, ha rimesso al centro dell'attenzione la figura dell'AdS e la rilevanza del suo ruolo. Nel suo Provvedimento, il Garante ha voluto sensibilizzare le organizzazioni sul territorio nazionale, prescrivendo norme che hanno il duplice valore di obblighi giuridici da una parte, e di linee guida pratico-operative dall'altra. L'obiettivo è stato quello di guidare i titolari del trattamento nel comprendere l'importanza di prestare la massima attenzione nella scelta delle figure professionali incaricate di gestire i sistemi informatici. In particolare, il Provvedimento ha sottolineato la necessità di una selezione accurata degli AdS, tenendo in considerazione non solo la competenza tecnica, ma anche la loro affidabilità e integrità, dati i potenziali rischi associati a un uso improprio delle informazioni sensibili a cui possono avere accesso. La nomina degli AdS deve essere dunque documentata e formalizzata, con una chiara definizione delle loro responsabilità e dei limiti all'interno dei quali possono operare. Il Provvedimento del 2008 ha altresì stabilito che le attività degli AdS devono essere svolte in maniera tracciabile, in modo da consentire il controllo a posteriori sulle operazioni effettuate e garantire l'integrità e la confidenzialità dei dati personali trattati. Ciò implica l'adozione di meccanismi di registrazione e conservazione dei log di sistema, strumenti essenziali per la verifica delle operazioni effettuate sugli asset informativi. Riepilogando, con l'emanazione del Provvedimento del 27 novembre 2008, il Garante ha conferito agli AdS un ruolo riconosciuto e ben definito all'interno del quadro normativo italiano in materia di protezione dei dati personali, ribadendo la necessità di garantire la sicurezza dei dati attraverso l'adozione di misure adeguate e l'attribuzione di responsabilità chiare e definite. Profili generaliIl Provvedimento del Garante del 2008 ha enfatizzato il ruolo cruciale dell'Amministratore di Sistema (AdS), imponendo ai Titolari del trattamento l'adozione di misure di sicurezza sia organizzative che tecniche volte a delineare in maniera adeguata le responsabilità di coloro che operano con privilegi elevati e non in maniera sporadica sugli elaboratori. In tale contesto, l'AdS svolge attività di installazione, configurazione, manutenzione e aggiornamento del hardware e del software all'interno delle organizzazioni. L'intento del Garante è di rafforzare il riconoscimento delle responsabilità assegnate ai dipendenti che si occupano del funzionamento dell'hardware e del software attraverso i quali, e sul quale, si rendono disponibili servizi agli interessati. Un elemento fondamentale del Provvedimento riguarda la categorizzazione degli AdS in base alla natura e alla regolarità delle loro funzioni. Questa classificazione, infatti, risulta essenziale per comprendere le responsabilità e le competenze dei vari soggetti coinvolti, con l'obiettivo di garantire una maggiore sicurezza dei dati e un'efficace gestione dei rischi. Sulla base di tale considerazione, gli AdS possono essere distinti in tre categorie, in base alla frequenza e alla natura delle attività svolte. Questa categorizzazione permette di stabilire le mansioni, le responsabilità e le competenze specifiche di ogni categoria, nonché le necessarie misure di sicurezza da adottare per prevenire possibili violazioni dei dati. È fondamentale sottolineare l'importanza di tale distinzione, che non solo consente una migliore comprensione e gestione dei ruoli all'interno dell'organizzazione, ma contribuisce anche a rafforzare la sicurezza dei dati personali trattati, garantendo un controllo adeguato sull'accesso e l'utilizzo dei sistemi informatici. Riassumendo, il Provvedimento del 2008 ha rafforzato il riconoscimento e la delimitazione delle responsabilità degli AdS, imponendo ai titolari del trattamento l'adozione di misure di sicurezza appropriate per garantire l'integrità, la riservatezza e la disponibilità dei dati personali. Attraverso l'adozione di tali misure, il Garante ha voluto ribadire l'importanza della figura dell'AdS come chiave di volta nella protezione dei dati personali e nella gestione dei rischi connessi all'utilizzo di sistemi informatici. La figura dell'AdS è, per sua stessa natura, incaricata di gestire e sovrintendere l'intera infrastruttura informatica di un'organizzazione. Questo mandato copre un'ampia gamma di dispositivi aziendali, compresi, ma non esclusivamente, switch e router, server DHCP, reti Wi-Fi, server VPN, e dispositivi di sicurezza come i firewall. Inoltre, tale figura si occupa della gestione dell'installazione e dell'aggiornamento dei sistemi operativi, siano essi varie versioni di Windows, Linux, o eventuali virtualizzatori. Ciò richiede una conoscenza ed un'expertise tecnica di notevole profondità e ampiezza, poiché un AdS deve essere in grado di gestire con competenza una varietà di sistemi e di problemi. In aggiunta, l'AdS risulta essere anche colui o colei che detiene privilegi amministrativi sugli applicativi, comprendendo la gestione di software come gli ERP, la gestione dei database, e la gestione di applicativi di protezione quali antivirus e antimalware. Il filo conduttore di tutte queste responsabilità è la presenza di account associati a privilegi amministrativi, che conferiscono la capacità di eseguire operazioni particolarmente invasive e complesse. Tali operazioni possono includere la modifica della password di accesso al Wi-Fi, l'alterazione dei componenti di un virtualizzatore, l'applicazione di patch di sicurezza ad un applicativo, o la capacità di creare utenze e di assegnare permessi alle stesse. Inevitabilmente, questi permessi, se abusati, hanno il potenziale di compromettere gravemente le funzionalità e la sicurezza dell'intero sistema – sia che si tratti dell'infrastruttura informatica, dei sistemi operativi o degli applicativi. Questo aspetto evidenzia la natura estremamente delicata di un “account di amministrazione”, e sottolinea la necessità di una assegnazione oculata e ponderata di tali account alle persone fisiche. Un account amministrativo, come suggerisce il nome stesso, è un tipo di account che ha i diritti più alti di accesso e controllo all'interno di un sistema informatico. Questa posizione di supremazia digitale significa che l'account di amministratore ha la capacità di apportare cambiamenti significativi, spesso irreversibili, al sistema stesso. Può, ad esempio, installare o rimuovere software, modificare le impostazioni del sistema, creare o eliminare account utente e modificare i loro privilegi, e accedere e modificare qualsiasi dato all'interno del sistema. Il nome esatto e la natura specifica dell'account amministrativo possono variare a seconda del sistema operativo o del software in uso. In Linux e in molti altri sistemi operativi basati su Unix, ad esempio, l'account di amministrazione principale è noto come “root”. L'account root ha un controllo totale sul sistema, permettendo all'utente di eseguire qualsiasi operazione desideri. In Windows, il nome dell'account amministrativo predefinito è semplicemente “Amministratore”. Come il suo omologo root in Unix, l'account Amministratore in Windows ha la piena autorità per apportare modifiche al sistema. Allo stesso modo, molti software e applicazioni hanno il loro proprio concetto di account amministrativo. Ad esempio, un database MySQL ha un account “root” che ha il permesso di creare e cancellare database, creare, modificare e cancellare tabelle e file di dati, e apportare altre modifiche al livello del sistema. Un server web Apache ha un utente “admin” che può modificare le configurazioni del server, installare moduli aggiuntivi, e così via. In sistemi più complessi, potrebbe esserci una gerarchia di account amministrativi, ognuno dei quali ha diversi livelli di accesso e controllo. Ad esempio, in un sistema di gestione dei contenuti come WordPress, esistono vari ruoli con diverse responsabilità, come l'amministratore del sito, l'editor, l'autore e l'abbonato. L'amministratore del sito ha il massimo livello di controllo, inclusa la capacità di modificare temi e plugin, mentre gli altri ruoli hanno livelli di accesso e controllo ridotti. Le applicazioni software come servizio (Software as a Service, SaaS) hanno anche la loro struttura gerarchica di account e ruoli. In un contesto SaaS, un account amministrativo, a volte chiamato super utente o utente master, ha accesso completo e controllo sulle funzionalità e sui dati dell'applicazione. Prendiamo ad esempio una piattaforma di Customer Relationship Management (CRM) come Salesforce. In Salesforce, il “System Administrator” è il ruolo con il più alto grado di autorità e controllo. Questo ruolo ha la capacità di configurare e personalizzare l'applicazione, creare e gestire tutti gli altri utenti, assegnare ruoli e profili, gestire le impostazioni di sicurezza, eseguire operazioni avanzate sui dati, tra le altre funzionalità. Questo ruolo di “System Administrator” è così potente che Salesforce raccomanda l'assegnazione di questo ruolo a un numero minimo di utenti, e solo a quelli che hanno una conoscenza approfondita del sistema. In un altro esempio, in Google Workspace (precedentemente noto come G Suite), esistono gli “Super Admins”, che hanno il controllo totale su tutti i servizi e le impostazioni della suite, compresa la capacità di aggiungere o rimuovere utenti, impostare la sicurezza e la conformità, gestire i servizi e le impostazioni di tutti gli utenti e altre funzioni di amministrazione. In entrambi i casi, l'accesso amministrativo consente di effettuare modifiche significative all'applicazione e ai suoi dati, quindi la sua gestione richiede cautela. L'assegnazione di ruoli di amministrazione dovrebbe essere limitata al personale più fidato e qualificato, con politiche di sicurezza appropriate in atto per proteggere l'account da accessi non autorizzati o abusi. Inoltre, l'utilizzo dell'autenticazione a due fattori (2FA) e del monitoraggio degli accessi possono aggiungere ulteriori livelli di sicurezza. Quindi, un account amministrativo è un tipo speciale di account che ha un livello di accesso e controllo molto elevato sul sistema o sull'applicazione. Dato il suo potere, è fondamentale che questi account siano gestiti con la massima cura e responsabilità, e che le misure di sicurezza appropriate siano in atto per proteggere questi account dall'abuso. La sensibilità intrinseca dell'account di amministrazione nel sistema è indiscutibile, dal momento che esso detiene un potenziale di controllo e manipolazione dei dati e delle operazioni che è praticamente insuperabile. Ne deriva un'imperativa necessità di cautela e attenzione nel momento in cui si assegna e gestisce tale account, con l'obiettivo preponderante di prevenire possibili abusi o violazioni che possano compromettere la sicurezza e la funzionalità del sistema. Emerge pertanto come questa necessità di prudenza si concretizzi in un obbligo tassativo per i titolari del trattamento di adottare misure di sicurezza accurate ed adeguate nella gestione e nell'attribuzione di questi account di amministrazione. Il provvedimento del 2008 del Garante per la Protezione dei Dati Personali intende esattamente orientare questa regolamentazione giuridica dell'AdS, istituendo specifici obblighi a carico dei titolari del trattamento. L'intento è quello di fornire un quadro normativo chiaro e ben definito in cui possano muoversi i titolari del trattamento e gli AdS, in modo da garantire che le risorse del sistema operativo siano gestite in modo sicuro e responsabile. Si traduce quindi in un compendio di sette disposizioni, ciascuna delle quali mira a trattare un aspetto specifico della gestione e dell'assegnazione degli account di amministrazione. Queste disposizioni, pur essendo distinte, sono tutte interconnesse e si rafforzano a vicenda, creando un regime normativo che copre l'intero spettro delle responsabilità e degli obblighi degli AdS. Ogni disposizione rappresenta un tassello nell'intricato mosaico della gestione dei dati e delle risorse informatiche, e contribuisce a creare un quadro normativo completo e dettagliato. Questo quadro normativo ha lo scopo di garantire che tutte le attività relative alla gestione dei dati e delle risorse informatiche siano svolte in modo responsabile, sicuro e conforme alla legge, garantendo al contempo la protezione dei dati personali e la sicurezza dei sistemi informatici. La sua finalità ultima è quindi quella di fornire un quadro normativo che permetta di gestire e controllare l'accesso alle risorse del sistema aziendale in modo sicuro e responsabile, garantendo al contempo la protezione dei dati personali e la sicurezza dei sistemi informatici. SceltaIl provvedimento in commento attribuisce notevole importanza all'individuazione di soggetti appropriati per svolgere le responsabilità di un amministratore di sistema, posizionando le competenze di questi individui al centro dell'attenzione. Esso impone al titolare del trattamento il dovere di assegnare con cura tale ruolo, con la previsione di verifiche periodiche delle attività svolte dal soggetto designato attraverso misure sia tecniche che organizzative. In termini pratici, il titolare del trattamento deve scegliere attentamente l'individuo che assegnerà come amministratore di sistema. Questo individuo dovrebbe essere selezionato in base alla sua esperienza, abilità e affidabilità, nonché sulla sua capacità di garantire il rispetto completo delle disposizioni attualmente in vigore in materia di trattamento dei dati, compresi gli aspetti relativi alla sicurezza. Questi criteri di selezione sono in linea con quelli previsti dall'art. 28 del GDPR per la designazione del Responsabile del trattamento, sottolineando l'importanza delle competenze e delle conoscenze richieste all'amministratore di sistema. Il titolare del trattamento deve essere quindi molto meticoloso nel selezionare chi assumerà il ruolo di amministratore di sistema. L'assegnazione di tale ruolo dovrebbe avvenire solo dopo aver accuratamente valutato le capacità, l'esperienza e l'affidabilità del candidato. Il risultato di questa valutazione dovrebbe essere documentato in modo formale, ad esempio mediante un verbale o una lettera di incarico, in modo da fornire un riferimento per eventuali verifiche future. L'adempimento di queste disposizioni rappresenta una misura di sicurezza che l'organizzazione è obbligata a rispettare. Il mancato rispetto di queste disposizioni potrebbe comportare la delega di funzioni di estrema importanza a persone che non hanno le competenze, l'esperienza o l'affidabilità necessarie per svolgerle adeguatamente. Pertanto, nella scelta di un amministratore di sistema, il titolare del trattamento non può prescindere dal riconoscimento delle competenze tecniche specifiche del candidato, che possono essere dimostrate attraverso titoli di studio, certificazioni professionali o referenze lavorative. Gli elementi soggettivi citati precedentemente si concretizzano nell'assegnazione del ruolo di AdS solo a seguito di un'attenta valutazione delle qualifiche professionali, delle competenze tecniche nell'operare su sistemi informatici, e del grado di fiducia che può essere instaurato tra il titolare del trattamento e l'AdS. Questa relazione di fiducia non dovrebbe compromettere l'autonomia dell'AdS, ma dovrebbe fornire al titolare del trattamento la serenità necessaria nell'assegnare compiti di tale importanza e criticità. Un'assegnazione delle funzioni di AdS ritenuta troppo superficiale o imprudente potrebbe configurare una “culpa in eligendo”, ovvero una colpa derivante dalla scelta non adeguata o non prudente dell'amministratore del sistema. Questo errore nella selezione dell'AdS può avere conseguenze rilevanti dal punto di vista sia civile che penale. Infatti, l'attribuzione incauta di tali responsabilità ad un individuo non adeguatamente qualificato potrebbe portare alla compromissione della sicurezza dei dati o alla violazione delle leggi sulla protezione dei dati, con possibili sanzioni pecuniarie o penali per il titolare del trattamento. È quindi di fondamentale importanza che il titolare del trattamento eserciti un giudizio scrupoloso e informato quando seleziona la figura dell'AdS, per evitare la potenziale incidenza di tali responsabilità. In merito all'efficienza del processo di valutazione preliminare del candidato, come previsto dai principi generali di selezione e assunzione, sono da considerare almeno tre questioni rilevanti. In primo luogo le competenze tecniche, il cui esame dovrebbe essere fondato sulle informazioni rese disponibili dall'amministratore designando ovverosia tramite il curriculum vitae, lettere di referenze, o tramite lo stesso colloquio di lavoro. Per quanto riguarda l'affidabilità, può essere accertata tramite referenze lavorative o altre fonti di terze parti: una verifica della veridicità delle affermazioni del candidato in sede di colloquio è certamente una buona base di partenza per mitigare il rischio di “Insider Threat”. Ulteriore aspetto da prendere in considerazione è il tema delle certificazioni e delle qualifiche: capacità, affidabilità ed esperienza possono essere asseverate anche tramite l'aver ottenuto certificazioni che attestino la conoscenza dei temi di sicurezza informatica e protezione dei dati personali, anche relative a prodotti specifici come la gestione delle infrastrutture dei cloud provider o lo sviluppo sicuro. In relazione all'efficacia di tali processi, si ritiene fondamentale mantenere un registro di tutte le azioni compiute durante il processo di controllo preliminare, compresi i motivi delle decisioni adottate. Tale registro potrebbe includere la documentazione delle competenze tecniche del candidato, i risultati delle verifiche di affidabilità e i dettagli delle certificazioni da quest'ultimo possedute. Trattasi di un'applicazione concreta del principio di accountability, ovverosia una dimostrazione tangibile che l'azienda ha svolto tutte le verifiche necessarie e ha documentato tale percorso che conduce alla designazione. NominaLa designazione dell'Amministratore di Sistema (AdS) è un processo specifico e individuale che deve chiaramente delineare gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato all'AdS. Questo si traduce in una descrizione dettagliata dei sistemi e delle applicazioni sulle quali l'AdS ha il permesso di operare, dettagli che devono essere inclusi nella stessa designazione. Questa mappatura dettagliata dei permessi è essenziale non solo per rispettare il regolamento in questione, ma anche per aderire al principio di responsabilizzazione (accountability) delineato nell'articolo 24 del General Data Protection Regulation (GDPR). Un'adeguata definizione dei compiti permette al titolare del trattamento di controllare efficacemente l'operato di chi ha le competenze, le conoscenze e i permessi per rappresentare un baluardo cruciale dell'organizzazione, almeno per quanto riguarda le questioni di sicurezza informatica. In base ai propri ambiti di operatività, l'AdS è la figura che può per prima avvisare l'organizzazione in caso di malfunzionamenti o attacchi informatici. L'AdS, tramite una corretta gestione dell'infrastruttura a cui è assegnata, può garantire la necessaria resilienza dei sistemi e il mantenimento delle loro funzionalità. La designazione dell'AdS può includere ulteriori obblighi e istruzioni che il titolare del trattamento ritiene necessario impartire al fine di proteggere i propri sistemi. Questo può includere istruzioni per la segnalazione di qualsiasi anomalia di funzionamento al titolare e/o al Data ProtectionOfficer (DPO), se nominato. Potrebbe inoltre essere richiesto all'AdS di partecipare alla verifica periodica delle attività degli altri AdS e di eseguire controlli sul corretto funzionamento dei sistemi a lui affidati, correggendo eventuali problemi che possono emergere. ListeIl provvedimento richiede che i titolari del trattamento redigano una lista degli AdS. La lista deve includere un elenco delle funzioni attribuite agli AdS, insieme ai loro dettagli identificativi. Ciò è particolarmente importante se le attività degli AdS riguardano, direttamente o indirettamente, il trattamento di informazioni personali dei dipendenti. Il titolare del trattamento, in qualità di datore di lavoro dei dipendenti i cui dati sono trattati dall'organizzazione, è tenuto a comunicare i dettagli identificativi degli AdS che hanno la capacità di operare sui dati dei dipendenti. Questa precauzione è necessaria per rispettare gli obblighi imposti ai titolari del trattamento ai sensi dell'articolo 4 della l. n. 300/1970 (Statuto dei lavoratori), in particolare riguardo al divieto di controllo remoto occulto dei lavoratori. L'art. 4, comma 3 della l. n. 300/1970 fa riferimento al d.lgs. n. 196/2003, che stabilisce che gli strumenti di controllo possono essere utilizzati a tutti i fini legati al rapporto di lavoro, a condizione che sia fornita al lavoratore un'informazione adeguata sulle modalità di utilizzo di tali strumenti e sulle modalità di controllo, nel rispetto del decreto legislativo n. 196/2003. Questo si inserisce nel contesto del GDPR, che all'art. 88 riconosce agli Stati membri la possibilità di stabilire, mediante leggi o contratti collettivi, norme più specifiche per garantire la protezione dei diritti e delle libertà in relazione al trattamento dei dati personali dei dipendenti nel contesto lavorativo. Pertanto, la lista degli AdS può essere resa disponibile attraverso l'informativa resa agli incaricati secondo l'articolo 13 del GDPR, o attraverso qualsiasi altro mezzo appropriato, anche di natura digitale, che sia adeguato a raggiungere questo obiettivo. VerificaIl provvedimento in commento al p. 2 lett. e) sancisce che “l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.” Il titolare o il responsabile del trattamento dovranno, pertanto, programmare verifiche annuali per la revisione dell'operato degli amministratori di sistema. Tali verifiche possono includere quiz, colloqui e solo in ultima analisi e in assenza di possibilità effettiva di operare un audit, anche il check dei log operativi prodotti, dei quali si dirà più avanti. L'assenza di verifica potrebbe comportare una “culpa in vigilando” per titolari e responsabili del trattamento. Il titolare e il responsabile dovranno vigilare in modo puntuale sull'osservanza delle istruzioni impartite e sul permanere dei requisiti richiesti in capo al soggetto designato, il cui operato sarà valutato, con cadenza periodica e costante, al fine di verificare la sua rispondenza alle misure e agli obblighi impartitigli. La metodologia di audit prevista dal Provvedimento attuale è basata sulla verifica della gestione delle funzioni correlate. Questa verifica viene condotta su diverse “macroaree” che coprono vari aspetti dell'attività dell'amministratore di sistema. Le cinque macroaree di focus dell'audit sono elencati di seguito. Valutazione dell'ambito di operatività dell'amministratore di sistema: questa valutazione inizia con un esame della lettera di nomina dell'amministratore e di eventuali cambiamenti nel ruolo o nei privilegi assegnati rispetto all'anno precedente. Questo include la verifica dei sistemi, account e servizi, insieme ai relativi accessi e privilegi assegnati all'amministratore di sistema. Conoscenza dei modelli organizzativi aziendali: viene verificato il livello di consapevolezza dell'amministratore di sistema sulle politiche e procedure aziendali, tra cui quelle relative alla creazione e gestione delle password, la gestione dei backup e lo sviluppo del software. Gestione dei log di accesso: si analizza la registrazione e gestione dei log di accesso logici, inclusi gli accessi al sistema in un determinato periodo di tempo, transazioni fallite, eventuali anomalie e possibili minacce malware. Conoscenza in ambito cybersecurity: si verifica la consapevolezza dell'amministratore di sistema in termini di cybersecurity, inclusa la conoscenza delle politiche aziendali e la capacità di rispondere a eventuali incidenti di sicurezza. Conoscenza in ambito privacy: si esamina la consapevolezza dell'amministratore di sistema rispetto alla protezione dei dati personali e dei dati sensibili che potrebbe avere accesso o visibilità. Per ognuna di queste macroaree, vengono poste delle domande specifiche all'amministratore di sistema, le cui risposte aiuteranno a determinare se le sue attività sono in conformità con il provvedimento in vigore. Per ognuna delle macroaree, viene eseguita una valutazione di conformità complessiva in maniera tale da affrontare eventuali non conformità in base alle politiche del titolare e del responsabile del trattamento. OutsourcerLe medesime cautele devono essere osservate nel caso in cui il titolare del trattamento si trovi nella circostanza di dover affidare servizi da amministratore di sistema a fornitori esterni. Al di là della previsione di cui all'art. 28 GDPR (per approfondimento si veda art. 28 GDPR), il provvedimento in commento obbliga il titolare a mantenere e aggiornare una lista contenente gli estremi identificativi delle persone fisiche incaricate a svolgere attività di AdS all'interno del perimetro della propria organizzazione. È d'uopo segnalare che il provvedimento in commento non ritiene di dover includere i processi di background check, designazione e verifica nel rapporto con AdS non organici al titolare del trattamento, mantenendo ferma la possibilità di ricorrere all'art. 29 GDPR al fine di rafforzare le istruzioni fornite al responsabile del trattamento tramite indicazioni appositamente concepite per guidare l'AdS esterno nel rispetto delle politiche, procedure e misure di sicurezza del titolare del trattamento. LogL'unica misura tecnica che il provvedimento richiede di adottare riguarda la registrazione degli accessi degli AdS, ovvero la produzione e conservazione di “file di log”. All'interno del dettato normativo del d.lgs. n. 51/2018 all'art. 2, comma 1, lett. q), si trova una delle più recenti definizioni di “file di log” ovvero “registro degli accessi e delle operazioni”. Sarà compito del titolare adottare soluzioni per il logging degli accessi degli amministratori di sistema che dispongano delle caratteristiche di completezza, inalterabilità e passibili di verifica di integrità. Il titolare dovrà inoltre assicurarsi che su tutti i sistemi vengano correttamente implementati software di operational intelligence che producano log aventi le caratteristiche summenzionate. Tali log dovranno essere mantenuti per almeno sei mesi. Pertanto, in osservanza del provvedimento in commento, tutte le operazioni di login, logout e tentativi di login ai sistemi informativi aziendali effettuate dall'AdS dovranno essere tracciate. Occorre dettagliare in cosa consistano le caratteristiche dei log summenzionate, che garantiscono la conformità al provvedimento. I log dovranno essere completi, ovvero il sistema di logging dovrà tener traccia di ogni azione per cui è stato configurato, escludendo la possibilità che non venga loggata anche una sola di tali azioni, se non attraverso interventi dolosi e invasivi. Al fine di poter essere considerati completi, i log dovranno contenere le informazioni relative al timestamp e alla macchina dalla quale si è operato l'accesso e la disconnessione. Per quanto riguarda l'inalterabilità, occorre notare che i log non devono essere modificabili o cancellabili, in quanto tale azione invaliderebbe anche la proprietà di completezza del log. Tale obiettivo può essere raggiunto utilizzando ad esempio un software di operational intelligence, il ricorso a memorie di tipo “w.o.r.m.” (write once, readmany) o trasferendo i log verso un server privo di permessi relativi alla modifica di quanto conservato. Per quanto riguarda la verifica dell'integrità dei log, può ottenersi tramite l'implementazione di una modalità per l'autenticazione dei file basata su una funzione di hash quale HMAC. Si dovrà, pertanto, utilizzare una combinazione del file originale e una chiave segreta per la generazione del codice. HMAC possiede la caratteristica peculiare di non essere legato a nessuna funzione di hash in particolare, questo per rendere possibile una sostituzione della funzione nel caso non fosse abbastanza sicura. I vari record all'interno del log dovranno quindi essere affiancati dall'output di HMAC, la cui chiave deve essere sconosciuta agli amministratori di sistema. La verifica dell'integrità da parte del software di operational intelligence può essere manuale, ovvero su richiesta di un amministratore di sistema o di un altro incaricato con adeguato profilo autorizzativo, oppure può avvenire costantemente in background, segnalando con appositi alert l'avvenuto rilevamento di log corrotti. Il rapporto con l'art. 32 GDPRAl di là di quanto sancito dal provvedimento, la figura dell'AdS risulta rilevante anche ai fini della dimostrazione della responsabilizzazione di cui all'art. 24 GDPR e al rispetto del dettato normativo dell'art. 32 del Regolamento. Per quanto il Regolamento non richiami esplicitamente tale figura, il provvedimento sul data breach del 4 aprile 2019 n. 83 mette in relazione la sicurezza del trattamento con la presenza delle misure tecniche e organizzative che riguardano l'operato degli AdS, fornendo all'interprete la possibilità di desumere come il rispetto del provvedimento in commento sia parte integrante dell'adesione agli obblighi sanciti dall'art. 32 GDPR. A L'analisi operata dall'Autorità Garante e descritta all'interno del provvedimento sul data breach del 4 aprile 2019 n. 83, infatti, muove principalmente dalla presenza di software di operational intelligence e dalle perimetrazioni organizzative riguardanti la figura degli AdS. Occorre segnalare come l'Autorità nell'espletare la sua attività ispettiva, ha richiesto l'elenco di cui al provvedimento in commento ed ha verificato la presenza dei log e delle registrazioni degli accessi. Il Garante ha sanzionato l'Associazione Rousseau quale responsabile del trattamento ai sensi dell'art. 83, p. 4, lett. a) GDPR proprio per “il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute” e per “l'accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l'accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza”. L'assenza di tali misure di sicurezza è stata considerata dall'Autorità Garante una violazione dell'art. 32 GDPR. Si può desumere come il rispetto delle prescrizioni contenute nel provvedimento in commento potrebbe aver assunto una dimensione del tutto nuova alla luce del Regolamento. Le misure tecniche e organizzative elencate nel provvedimento relativo agli amministratori di sistema potrebbero essere diventate, ancor di più, una delle basi per dimostrare come un'organizzazione sia in grado di garantire la sicurezza del trattamento dei dati personali. BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/2018, Milano, 2019; Bolognini, Pelino, Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016. |
