Ovviamente non stiamo parlando delle figure tecniche, dotate di privilegi amministrativi, ma delle figure previste dal Provvedimento del Garante:
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008
e successivamente modificato con il provvedimento del 25 giugno 2009.
Tale Provvedimento, come noto, prescrive che le persone fisiche che abbiano determinate caratteristiche oggettive (tipo di attività svolta) e soggettive (il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29) siano formalmente designate quali Amministratori di sistema e che siano effettuate una serie di attività quali, ad esempio, la registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici.
Il Provvedimento indica però chiaramente quello che è il perimetro di applicazione o meglio di esclusione:
2. ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):
All’atto dell’emanazione del Provvedimento non era chiaro cosa fossero i trattamenti fini amministrativo-contabili, ma nel 2011 con il decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 è stato aggiunto al Dlgs 196/03 il comma 1-ter all’articolo 34, che li definisce.
Ora, una semplice lettura del citato comma qui sotto riportato evidenzia quanto ampia sia la portata di tale definizione:
Art. 34. Trattamenti con strumenti elettronici
…
1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
e tale da far ritenere che una normale organizzazione effettua ben pochi trattamenti (se li effettua) che non siano ricompresi nella sopra citata definizione.
Sta quindi ad ogni organizzazione valutare, in base ai propri trattamenti ed a quanto sopra esposto, se la figura degli Amministratori di sistema è ancora necessaria.