Se sei una software house gestisci sistemi informatici delle aziende, fornisci manutenzione, sviluppi tool proprietari, dai supporto e assistenza anche da remoto. Chiaramente, questo comporta l’accesso a tutte le informazioni presenti nei sistemi informatici delle agenzie clienti, e tra queste anche dati personali. Come definire gli aspetti privacy?
L’inquadramento del rapporto deve essere gestito in modo puntuale perchè implica risvolti privacy importanti: deve quindi essere tenuto in considerazione al momento della redazione del contratto di servizi, ad esempio di assistenza e manutenzione. Questo, sia che tu sia dalla parte della software house, sia che tu sia l’azienda cliente, sia che tu sia l’agenzia di comunicazione che esternalizza una parte dei servizi oggetto dell’incarico con il cliente finale (in questo caso, ti suggeriamo anche di vedere il contratto di servizi di comunicazione).
In questo articolo vediamo quindi: chi è l’Amministratore di Sistema, quali sono le funzioni e i principali adempimenti privacy da gestire nel rapporto software house – cliente.
Tutto quindi parte da una corretta regolamentazione delle attività che l’azienda IT si impegna a svolgere. Come sempre, il nostro modus operandi è partire da un’analisi approfondita dei tuoi servizi.
Chi è l’Amministratore di Sistema?
L’Amministratore di Sistema è una figura professionale a cui società e agenzie di comunicazione ricorrono in outsourcing per avvalersi di servizi informatici specialistici che rivestono, nella maggior parte dei casi, un particolare ruolo sul piano operativo.
Come evidenziato dal Garante Privacy nel proprio provvedimento del 27 novembre 2008 sugli amministratori di sistema (come successivamente modificato il 25 giugno 2009), con la definizione di “Amministratore di Sistema” si individua “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. Inoltre, vengono considerati Amministratori di Sistema anche i seguenti tecnici IT:
- amministratori di reti, addetti alla configurazione e gestione delle reti aziendali, compresi firewall, router e switch, al fine di garantire la stabilità e sicurezza delle reti e il corretto accesso alle risorse condivise;
- amministratori di server, ivi inclusi i server di posta elettronica, i server web e i server di database specifici, affinché gli stessi siano sempre disponibili, sicuri e performanti;
- amministratori di software complessi, si pensi ai sistemi ERP – Enterprise resource planning o CRM – Customer Relationship Management.
L’Amministratore di Sistema di occupa quindi di ogni tipologia di rete informatica, a prescindere che la stessa sia accessibile via web o meno, come nel caso delle reti intranet. Può essere incaricato della definizione e gestione delle procedure di autenticazione alla rete, dell’implementazione di idonei sistemi di backup e disaster recovery, dell’impostazione e aggiornamento dei livelli di autorizzazione all’accesso da parte degli utenti ai diversi database, oltre che dell’implementazione delle più adeguate misure di sicurezza disponibili in considerazione del processo specifico e dello stato dell’arte.
Ti identifichi in queste attività? Alcuni dei tuoi servizi rientrano in quelli descritti (anche solo in parte)? Ecco, allora sei qualificabile come amministratore di sistema.
Quando la Software House è Amministratore di Sistema?
La software house, l’azienda di consulenza informatica, il sistemista anche autonomo, incaricati di servizi di monitoraggio, assistenza, aggiornamento e/o manutenzione di sistemi informatici, o singole componenti degli stessi, assume il ruolo di Amministratore di Sistema ogni qual volta è concretamente responsabile di specifiche fasi che presentano profili di criticità rispetto alla protezione dei dati detenuti dalla società cliente, tra i quali anche dati personali.
Ad esempio:
- La software house che ha sviluppato il gestionale sulla base delle richieste dell’azienda cliente e che presta attività di manutenzione e assistenza da remoto. Ha accesso ai dati immessi dall’azienda e ai vari database. Questa non è la sede, ma qui bisogna fare attenzione anche alle informazioni confidenziali e optare per un NDA.
- Il sistemista informatico che si occupa delle reti aziendali e che assicura il funzionamento del wifi e di tutte le connessioni, vpn incluse. Anche in questo caso, ha accesso a dati e informazioni.
- L’IT manager che si occupa di fornire consulenza informatica, gestire gli aspetti digitali dell’organizzazione, backup, server, posta elettronica, ecc. Anche qui, una notevole mole di dati personali.
Un’azienda e tanti amministratori di sistema
L’Amministratore di Sistema non necessariamente è un soggetto unico: qualora in un’ottica di maggior efficienza operativa si ricorra a più software house incaricate di diversi servizi informatici, l’azienda deve valutare attentamente la necessità di individuare più Amministratori di Sistema, specificando per ciascuno di essi l’ambito operativo.
Quando la software house non è amministratore di sistema
Attenzione però: non possono essere considerati Amministratori di Sistema tutti quei soggetti che intervengono sui sistemi occasionalmente, ad esempio in seguito a guasti e manutenzioni.
Questo però non implica che gli stessi soggetti non ricoprano ugualmente un ruolo specifico dal punto di vista privacy, quale quello del responsabile esterno del trattamento. Si tratta, in questo caso, di valutare analiticamente tanto la tipologia di attività svolta quanto la potenziale accessibilità dei dati personali presenti nel sistema informatico oggetto di manutenzione.
Possiamo aiutarti quindi a definire bene il tuo ruolo, sia per evitare di fare errori nella qualificazione, sia per assumerti responsabilità e rischi che non ti riguardano.
Rapporto contrattuale e ruolo privacy di software house e agenzia di comunicazione
Il ruolo di Legal for Creativity è quello di fornire assistenza e consulenza legale ad agenzie di comunicazione, software house e aziende che lavorano online.
Ecco quindi che il rapporto agenzia di comunicazione – software house per noi è particolarmente importante. Da questo, con riguardo al ruolo privacy possono accadere due situazioni.
1) Software house come amministratore di sistema dell’agenzia di comunicazione
La software house incaricata direttamente dall’agenzia di comunicazione per supporto interno all’agenzia stessa.
Ad esempio: servizi di implementazione e aggiornamento di software che potrebbero comportare l’accesso da remoto ai database dell’agenzia di comunicazione, in cui risiedono i dati personali dei soggetti target delle attività di marketing di cui l’agenzia di comunicazione è incaricata.
2) Software house come sub-responsabile del trattamento per un cliente finale
Qui invece la software house viene si incaricata dall’agenzia di comunicazione ma per svolgere un’attività per il cliente finale dell’agenzia stessa.
Ad esempio: sviluppo, da parte della software house, di un software che viene poi embeddato all’interno di un sito che è stato realizzato dall’agenzia di comunicazione per il cliente finale.
Oppure attività di analisi di dati dell’agenzia di comunicazione impliciti e prodromici alla corretta esecuzione delle attività di assistenza IT (anche occasionali e on demand).
Chiaramente in questi casi non escludiamo il ruolo di amministratore di sistema. Possiamo anche valutare la qualifica di sub-responsabile.
Torniamo quindi a dirti che: è fondamentale individuare le attività, i ruoli, gli obblighi, le responsabilità e dotarsi, di conseguenza, della documentazione adeguata.
I documenti privacy dell’azienda informatica
La nomina a responsabile del trattamento
La software house nello svolgimento di servizi informatici quali servizi di monitoraggio, assistenza e aggiornamento che comportano l’accesso remoto ai dati dell’agenzia di comunicazione cliente, si trova a dover trattare dati personali di titolarità del cliente assumendo il ruolo tipico di responsabile del trattamento.
L’incarico ad amministratore di sistema
Inoltre, per quanto il Regolamento europeo sulla protezione dei dati personali (GDPR) non prevede espressamente la figura dell’Amministratore di Sistema, nondimeno nella prassi si ritiene che l’Amministratore di Sistema sia implicitamente richiamato in diverse disposizioni del GDPR, date le specifiche competenze di tale figura IT che ben si ricollegano al dovere del titolare e/o del responsabile del trattamento (i.e. l’agenzia di comunicazione) di adottare e mantenere aggiornate misure di sicurezza anche tecniche adeguate al rischio. Ad esempio, se si guarda più dettagliatamente alle prescrizioni del legislatore europeo di cui all’art. 32 del GDPR, vi si trova un elenco di misure di sicurezza che implicano l’intervento di un soggetto inquadrabile come Amministratore di Sistema:
- pseudonimizzazione e cifratura dei dati personali;
- capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Ne discende che nella definizione contrattuale del rapporto tra l’Agenzia di comunicazione e la software house debbano essere tenuti in considerazione non soltanto gli aspetti tipici del rapporto tra titolare e responsabile del trattamento, quanto anche le specifiche prescrizioni indicate dal Garante Privacy nel provvedimento del 27 novembre 2008 sugli Amministratori di Sistema ancora oggi in vigore, non potendosi quest’ultimo ritenere superato dal GDPR.
Gli adempimenti privacy per le attività di consulenza e assistenza informatica
Il contratto di servizi tra il cliente e la software house o tra l’agenzia di comunicazione e la software house dovrà prevedere diversi adempimenti obbligatori, posti ora in capo all’una ora all’altra parte contrattuale.
1) Gli obblighi privacy dell’azienda cliente (anche agenzia di comunicazione)
In particolare, tra i doveri posti in capo all’azienda o all’agenzia di comunicazione:
- Valutazione delle caratteristiche soggettive dell’Amministratore di Sistema: prima di conferire l’incarico dovranno essere adeguatamente valutati i profili di esperienza, capacità e affidabilità della software house, aspetti di cui dovrà essere dato atto nel contratto;
- Designazioni individuali: per quanto l’incarico IT venga conferito ad una software house nel suo complesso, la designazione quale Amministratore di Sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti ai singoli preposti dalla software house, in base al profilo di autorizzazione assegnato.
- Tenuta dell’elenco degli Amministratori di Sistema: gli estremi identificativi delle persone fisiche Amministratori di Sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno all’agenzia di comunicazione da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante;
- Verifica delle attività: l’azienda cliente che conferisce l’incarico alla software house ha l’obbligo di verificare formalmente, con cadenza almeno annuale, l’attività dei singoli Amministratori di Sistema designati.
Se si tratta di attività che devi ancora integrare nel tuo flusso di lavoro è importante inserire questa “Procedura Privacy” all’interno della “Procedura Contratto“. Abbiamo parlato di procedure e di documentazione contrattuale qui.
2) Gli obblighi privacy della software house (anche IT manager autonomo)
Tra gli obblighi imposti alla software house, connessi al punto 4, i fondamentali:
- Registrazione degli accessi: devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema designati. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità da parte dell’agenzia di comunicazione che conferisce l’incarico;
- Conservazione delle registrazioni: Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Privacy per le aziende IT: da dove iniziare?
Come puoi intuire, la gestione di dati personali è molto delicata ma chiaramente non è un’attività che devi o puoi fare in autonomia. Semplicemente, il ruolo della software house deve essere oggetto di un’attenta analisi con un professionista e sotto molteplici profili, analisi da rispecchiare poi nell’assetto contrattuale disciplinante i servizi IT esternalizzati.
Ti suggeriamo quindi di procedere per step.
Il primo è rispondere a queste domande: quali sono le attività che svolgi per i tuoi clienti? Quali sono gli asset aziendali su cui intervieni? A quali dati ed informazioni hai accesso?
Il secondo è dotarsi della documentazione contrattuale completa, implementare procedure e misure, dotarsi degli allegati privacy per lavorare in modo corretto, rispettoso della normativa e a prevenzione dei rischi della propria attività.
Foto di Christina @ wocintechchat.com su Unsplash