Un Amministratore di Sistema diventa anche Responsabile del trattamento dei dati (art. 28 GDPR) SOLO quando il suo ruolo comporta attività di trattamento sistematico di dati personali per conto del Titolare, e non solo interventi tecnici occasionali.
Ecco i punti chiave per capire la differenza:
1️⃣ Ruolo tecnico puro (non è responsabile del trattamento)
Interventi su hardware, software, server, reti, backup, patching.
Accesso ai sistemi solo per motivi tecnici, senza consultare dati personali.
Non prende decisioni su modalità o finalità del trattamento.
Non ha obblighi GDPR come audit, reportistica, notifica incidenti dati.
In questo caso, l’Amministratore di Sistema non è Responsabile esterno del trattamento; può solo firmare un accordo di riservatezza tecnico.
2️⃣ Quando diventa Responsabile del trattamento
Ha accesso sistematico ai dati personali dei clienti/utenti (es. database, email, CRM).
Esegue operazioni su istruzioni documentate del Titolare (es. modifica dati, estrazione report, gestione utenti).
Può influenzare le modalità del trattamento, anche indirettamente (es. configurazioni che impattano su conservazione, accesso o sicurezza dei dati).
È soggetto a obblighi formali GDPR: sicurezza, riservatezza, log accessi, collaborazione su audit, notifiche in caso di data breach.
Solo in questo scenario l’Amministratore di Sistema assume responsabilità ex art. 28 GDPR e firma la lettera di nomina come Responsabile del trattamento.
💡 Sintesi pratica:
Se fai solo assistenza tecnica, non sei responsabile GDPR.
Se invece gestisci sistemi in cui hai accesso strutturato e continuativo ai dati per conto del Titolare, diventi responsabile del trattamento e questo richiede contratto dedicato, istruzioni scritte e misure di sicurezza documentate.
Data pubblicazione : 08/09/2025