Chi ha la responsabilità dopo lo spegnimento del sistema?
Emanuel Böminghaus, Esperto di Sistemi Legacy, Amministratore Delegato AvenDATA
Emanuel Böminghaus
Esperto di Sistemi Legacy,
Amministratore Delegato AvenDATA
Amministratore Delegato AvenDATA
Lo spegnimento di un sistema legacy è spesso una pietra miliare tecnica. I progetti sono considerati conclusi, le interfacce vengono scollegate, i server disattivati. Ma ciò che resta sono i dati. E con essi una domanda centrale: chi si assume effettivamente la responsabilità di queste informazioni quando il sistema legacy originale non esiste più?
Nella pratica, dopo la dismissione dei sistemi legacy, si creano spesso delle ambiguità. I reparti IT non si ritengono più competenti, i reparti aziendali perdono l’accesso, i responsabili della protezione dei dati richiedono la cancellazione e i responsabili della compliance esigono allo stesso tempo la conservazione. Questo conflitto può essere risolto solo se le competenze vengono definite in modo tempestivo e inequivocabile.
La responsabilità non termina con la dismissione del sistema
Anche quando un sistema legacy viene tecnicamente dismesso, i dati associati mantengono la loro rilevanza a livello di contenuto, legale e organizzativo. Documenti aziendali, transazioni, contratti o dati del personale rimangono soggetti ai tempi di conservazione legali richiesti dall’Agenzia delle Entrate, alle direttive sulla privacy e a potenziali obblighi di audit. Ciò significa che la responsabilità di questi dati si trasferisce, ma non scompare.
Un errore comune è presumere che con la dismissione del sistema legacy la responsabilità passi automaticamente al dipartimento IT o si esaurisca in esso. In realtà, sono quasi sempre coinvolti più enti e dipartimenti aziendali, ognuno con prospettive e requisiti di conformità diversi.
Il ruolo dell'IT
Di norma l’IT è responsabile della dismissione tecnica, ovvero dello spegnimento sicuro dell’infrastruttura, della migrazione o dell’archiviazione dei dati e dell’eliminazione delle vie di accesso. Spesso rientra nelle sue competenze anche la messa a disposizione di una soluzione di archiviazione per l’ex sistema legacy. Tuttavia: l’IT non è responsabile della valutazione funzionale dei dati o della loro rilevanza legale. Può implementare misure tecniche, ma non ha alcuna sovranità sui contenuti.
La responsabilità dei reparti competenti
I reparti competenti sono responsabili a livello di contenuto della creazione, dell’utilizzo e dell’interpretazione dei dati provenienti dal sistema legacy. Ciò vale anche dopo il suo spegnimento. Sono loro a sapere quali dati sono rilevanti, quali documenti devono essere conservati e cosa può essere cancellato nei singoli casi. Pertanto, i reparti aziendali dovrebbero essere coinvolti attivamente nel processo di archiviazione, in particolare nella definizione del volume dei dati, dei diritti di accesso e dei periodi di conservazione.
Dopo l’archiviazione, la responsabilità sui contenuti rimane al rispettivo reparto competente, anche se l’accesso avviene solo in lettura. Se questa responsabilità non viene regolata in modo chiaro, in situazioni critiche si verificano lacune di competenza, ad esempio durante le verifiche fiscali o le richieste interne.
Protezione dei dati e obblighi di cancellazione
Il responsabile della protezione dei dati è tenuto a monitorare il rispetto della limitazione della conservazione e dei diritti degli interessati. Anche dopo un’archiviazione, deve essere garantito che i dati personali provenienti dai sistemi legacy non vengano conservati a tempo indeterminato, bensì che possano essere cancellati o anonimizzati allo scadere di termini definiti.
A tal fine, sono necessari concetti di cancellazione e competenze concordati, in particolare per decidere quali dati del sistema legacy debbano essere archiviati e quali cancellati. La responsabilità della protezione dei dati non spetta all’IT, bensì di norma al reparto competente in coordinamento con il responsabile della protezione dei dati.
Compliance, audit e responsabilità
I reparti compliance e legale hanno un interesse particolare affinché i dati archiviati provenienti dai sistemi legacy rimangano completi, inalterati e accessibili. Hanno la responsabilità nei confronti di autorità di vigilanza, revisori contabili o tribunali. In particolare per i dati di rilevanza fiscale o in caso di potenziali controversie legali, l’accesso alle informazioni storiche è fondamentale.
Il reparto compliance dovrebbe pertanto collaborare a stretto contatto con l’IT e i reparti competenti per garantire il rispetto di tutte le normative pertinenti, come ad esempio le direttive GoBD, il GDPR, l’HGB o le disposizioni specifiche del settore. In ultima analisi, spesso sono gli amministratori delegati o i membri del consiglio di amministrazione a essere ritenuti responsabili in caso di violazione di un obbligo, anche anni dopo lo spegnimento di un sistema legacy.
Conclusione: competenze chiare evitano costosi malintesi
La responsabilità per i dati non termina con lo spegnimento di un sistema legacy. Essa si distribuisce su più fronti: IT, reparti competenti, protezione dei dati e compliance, e deve essere regolata in modo chiaro. Chi non definisce attivamente questi ruoli rischia ambiguità, violazioni degli obblighi di legge o la perdita di informazioni importanti.
L’archiviazione non è pertanto solo un compito tecnico, bensì un progetto interdisciplinare. Solo attraverso responsabilità chiare, processi concordati e una documentazione trasparente è possibile garantire che i dati vengano trattati correttamente anche dopo la dismissione di un sistema legacy. A norma di legge, in modo tracciabile e accessibile.
Pianificate di archiviare un sistema legacy?
