In ambito di Privacy e di GDPR, ci sono molte figure fondamentali che ricoprono ruoli diversi, come il DPO (di cui abbiamo già parlato qui), l’Amministratore di Sistema e il Titolare del Trattamento.
Chi è l’amministratore di sistema?
Per definizione del Garante Privacy, l’amministratore di sistema è una “figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti”.
In parole semplici: è colui che svolge compiti di natura tecnica, come gestire le autorizzazioni, installare antivirus e firewall, ecc. accedendo in modo privilegiato a tutte le informazioni aziendali, soggette al Trattamento dei dati personali.
L’amministratore di sistema può essere:
– Interno: è questo il caso di aziende grandi e strutturate per avere un proprio Responsabile IT, in grado di svolgere le attività dell’AdS. In questo caso, l’azienda dovrà inviare al tecnico incaricato una lettera di nomina, che descriva le mansioni previste.
– Esterno: le piccole e medie aziende, invece, affidano questo ruolo ad un tecnico esterno, che gestisce il sistema informatico aziendale in modo occasionale; l’amministratore esterno deve essere nominato dall’azienda come Responsabile del Trattamento.
E il titolare del trattamento?
L’altra figura fondamentale è il Titolare del Trattamento, cioè l’azienda che nomina il Responsabile del Trattamento.
Il primo step è valutare se nominare una figura interna (od esterna) per le attività di gestione e manutenzione del sistema informatico aziendale; questo è un obbligo per quelle realtà che hanno accesso e trattano dati sensibili dei dipendenti e di terzi.
Nel caso in cui venga designato un’AdS interno, il Titolare del Trattamento deve rispettare una serie di accorgimenti definiti dal Garante stesso:
- Verifica annuale delle mansioni svolte;
- Conservare i riferimenti identificativi degli AdS, con l’elenco delle funzioni ad essi attribuite;
- Adozione di sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici;
- Indicare gli ambiti di operatività consentiti;
- Necessità di informare i dipendenti dell’identità degli AdS, nel momento in cui questi debbano trattare i loro dati personali nell’espletamento delle proprie mansioni;
- Valutare le caratteristiche soggettive, che non si limita alle conoscenze tecniche, ma anche all’esperienza, la capacità e l’affidabilità del soggetto designato.
Hai ancora dubbi sul GDPR?
Lo staff TEL&CO può verificare la tua struttura aziendale in ambito privacy
e fornirti il supporto adeguato per ultimare l’adeguamento.
Fonte dei contenuti: MondoPrivacy.it