L’Amministratore di Sistema (AdS) è la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali. Le funzioni principali dell’AdS sono dalla realizzazione di copie di sicurezza alla custodia delle credenziali, alla gestione dei sistemi di autenticazione e di autorizzazione. L'infermiere, in possesso di specifico master di I° livello, è uno dei professionisti sanitari più idonei a ricoprire questo ruolo, forte anche della sua competenza in ambito clinico.

Chi è e di cosa si occupa l'amministratore di sistema

In primis fu la macchina da scrivere, manuale e poi elettrica, a sostenere una sorta di rivoluzione nel mondo del lavoro. Oggi possiamo sostenere che i calcolatori elettronici con l’avvento dell’era informatica hanno rivoluzionato i nostri modi di lavorare in quasi tutti i settori. A memoria non riesco ad immaginarne un luogo di lavoro che non utilizzi almeno un PC.

Nel campo sanitario quest’avvento è stato abbastanza radicale; basti pensare che nel settore infermieristico il procedimento più manuale in assoluto (il posizionamento di un catetere venoso periferico) può essere guidato da un’apparecchiatura medicale (ecografo) che alla base ha un calcolatore elettronico.

Rispetto ad altri campi lavorativi, la sanità ha vissuto una crescita esponenziale nel campo informatico generando nuovi posti di lavoro con nuove figure professionali.

Il settore dove la rivoluzione informatica è stata avvertita maggiormente è senza dubbio quello radiologico: esso ha infatti permesso, anche se indirettamente, la crescita di altri settori come per esempio quello cardiologico.

All’interno di una unità complessa di diagnostica per immagini, l’informatica ha fortemente segnato l’organizzazione del lavoro, rivoluzionando in modo particolare la gestione delle immagini.

Ci sono stati tre momenti fondamentali che hanno segnato la rivoluzione informatica in ambito radiologico: il primo esordio si è avuto con la cosiddetta “agenda radiologica informatizzata” e la creazione di data-base contemporaneamente al passaggio dall’analogico al digitale utile alla produzione di immagini radiologiche convenzionali. L’ultimo momento fondamentale si è avuto con l’archiviazione, la condivisione e l’elaborazione di immagini provenienti da macchine che utilizzano tecnologie diverse e di diversa fabbricazione.

Un punto molto importante è che le strutture sanitarie si sono dovute man mano adeguare creando un sistema di reti informatiche che permettessero tutto questo, vere e proprie autostrade dove viaggiano le informazioni.

Alla base di tutto ciò ci sono e ci sono stati ingegneri tecnologici ed elettronici, informatici e tecnici specializzati per la loro installazione e controllo del buon funzionamento.

Nell’ambito sanitario si è venuta quindi a creare l’esigenza di una figura che avesse competenze sia di tipo clinico che informatico. Questa nuova figura deve conoscere tutti i processi lavorativi del campo sanitario per poter meglio assoggettare, modulare e controllare i sistemi informatici: l’amministratore di sistema in campo sanitario.

Questi, nominato dal responsabile della privacy, secondo la normativa vigente (in corso di evoluzione mentre scriviamo), deve essere l’anello di congiunzione tra i tecnici informatici o manutentori delle apparecchiature ed il personale delle unità operative. Svolge un’azione di supervisione, controllo e prevenzione del processo, sia esso radiologico, cardiologico o di patologia clinica laboratoristico.

Il decreto legislativo del 30 giugno 2003, n. 196, aggiornato con una serie successivi di altrettanti decreti, ultimo 14 settembre 2015, n. 151, all’art. 2 recita: L’amministratore di sistema in campo sanitario “Garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali”.

Inoltre il suddetto “codice” identifica gli attori, che sono:

• titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono - anche unitamente ad altro titolare - le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
• responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
• incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
• interessato: la persona fisica cui si riferiscono i dati personali.

Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", pubblicato sulla G.U. n. 300 del 24 dicembre 2008, viene quindi individuata una figura importantissima che ha un ruolo chiave: L’amministratore di sistema.

Il Garante, inoltre, per la protezione dei dati personali impone ai titolari di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di predisporre un "elenco degli amministratori di sistema e loro caratteristiche".

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigere il DPS, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Per cui i Titolari avranno i seguenti obblighi:

• designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
• sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite. Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer)
• devono adottare sistemi idonei alla registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto
• qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto.

Le funzioni dell’Amministratore di sistema

Le funzioni tipiche dell'amministrazione di sistema sono richiamate nell'Allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle credenziali di autenticazione.

Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del presente provvedimento ai sensi dell'art. 154, comma 1, lett. h) del Codice, il garante invita i titolari a scegliere tali figure con la massima attenzione laddove tali funzioni siano esercitate in un contesto che renda possibile l'accesso, anche fortuito, a dati personali. Vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza.

Compito primario dell'amministratore di sistema è quello di proteggere la privacy dei dati personali e/o sensibili attraverso il controllo sull'utilizzo, il corretto funzionamento e la protezione dei sistemi di gestione ed elaborazione elettronica dei dati.

Altre funzioni principali dell’AdS sono la realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati), la custodia delle credenziali, la gestione dei sistemi di autenticazione e di autorizzazione, la gestione dei supporti di memorizzazione e la manutenzione hardware.

Gli amministratori di sistema così ampiamente individuati svolgono delle attività che possono comportare elevate criticità rispetto alla protezione dei dati, ciò anche quando non consultano "in chiaro" le informazioni medesime.

La valutazione dell’amministratore di sistema

Oltre al requisito fondamentale del possesso di Master di primo livello in Amministratore di sistema in ambito sanitario, l’ADS, il Titolare, prima di procedere alla nomina, deve valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema".

Questi devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

In che modo ciò può essere svolto (ed eventualmente dimostrato al Garante in caso di ispezione)? È ovvio che si parte dal presupposto che chi di fatto svolge già oggi la funzione di amministratore di sistema sia in grado di svolgere la propria funzione; è opportuno allora predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti.

Il CV deve essere datato e firmato sia dall’amministratore che dal titolare. L’indicazione dei percorsi formativi svolti specie per gli ambiti non prettamente tecnologici, ma relativi invece alle problematiche della privacy e della protezione dei dati personali assume un valore particolarmente importante per il "rispetto della garanzia delle vigenti disposizioni". L’amministratore di sistema non può essere solo un bravo tecnico, ma deve conoscere la normativa sulla privacy.

Designazione dell’amministratore di sistema

Occorre predisporre una lettera di "incarico" specifica che contenga:

• attestazione che l’incaricato ha le caratteristiche richieste dalla legge;
• elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;
• indicazione delle "verifiche" almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema;
• indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge.

Fin qui abbiamo visto molto chiaramente quali siano le competenze dell’amministratore di sistema all’interno nella sanità; il discorso cambia nel momento in cui andiamo a considerare il suo status di figura professionale dal punto di vista normativo.

Di fatto, questa figura manca di un inquadramento economico/professionale, eccezion fatta per provvedimenti particolari di alcune singole regioni, dipartimenti o unità operative.

Auspichiamo che nel futuro oltre agli obblighi di legge - non ultime le sue responsabilità penali - venga scritta una pagina anche per l’inquadramento normativo/retributivo di questa figura senza dubbio professionale e una buona occasione potrebbe essere rappresentata dal nuovo contratto di lavoro; compito delle organizzazioni sindacali, collegi ed associazioni pressare sugli organi politici affinché ciò avvenga.

Domenico Bencivenga, Dott. T.S.R.M.