È l’atto formale con cui il titolare o il responsabile del trattamento designa una persona a gestire e amministrare i sistemi informatici che trattano dati personali; serve a chiarire responsabilità, limiti di accesso, obblighi di riservatezza e le misure tecniche e organizzative necessarie per garantire sicurezza, tracciabilità e conformità al GDPR, nonché a fornire prova documentata dell’assegnazione dei privilegi e delle istruzioni operative in vista di audit o gestione di eventuali incidenti.
Come scrivere Nomina amministratore di sistema GDPR
La nomina di un amministratore di sistema, quando riguarda l’accesso e la gestione di sistemi che trattano dati personali, deve essere documentata in forma scritta e contenere tutte le informazioni necessarie a definire chiaramente competenze, limiti, obblighi e responsabilità, in modo da rispettare i principi di responsabilizzazione (accountability) previsti dal Regolamento (UE) 2016/679 e le indicazioni dell’Autorità Garante. Il documento di nomina deve innanzitutto individuare con precisione il soggetto che conferisce la nomina (titolare del trattamento o responsabile del trattamento), con i riferimenti identificativi dell’organizzazione, e il soggetto nominato, con nome, eventuale codice identificativo interno, ruolo aziendale, recapiti e, se trattasi di soggetto esterno, i dati dell’impresa fornitrice. È opportuno richiamare la base giuridica e il contesto normativo di riferimento, citando gli articoli rilevanti del GDPR (in particolare gli obblighi di istruzione e di misure tecniche e organizzative) e, se utile, riferimenti a policy o procedure interne richiamate dalla nomina stessa.
La nomina deve descrivere in maniera dettagliata l’ambito operativo attribuito all’amministratore: le specifiche infrastrutture, sistemi, applicazioni e ambienti (es. server, database, virtualizzazione, rete, servizi cloud, workstation di amministrazione) per i quali l’incarico vale; le tipologie o categorie di dati personali cui l’amministratore può accedere (es. dati identificativi, dati di salute, dati contrattuali); le operazioni consentite (installazione, configurazione, gestione account, backup/restore, interventi di emergenza, patching, log management) e, altrettanto importante, le operazioni espressamente vietate (esportazione, copia su dispositivi esterni, utilizzo di account amministrativi per attività di uso quotidiano). La delimitazione dello scope deve essere chiara anche in termini temporali: data di inizio della nomina, eventuale durata o condizioni di rinnovo, modalità di revoca e procedure da seguire in caso di cessazione del rapporto di lavoro o contrattuale.
Deve essere previsto l’obbligo di riservatezza e di segretezza relativamente ai dati ai quali l’amministratore avrà accesso, con richiamo esplicito alla normativa sulla protezione dei dati e, se previsto, la firma di un accordo di riservatezza o di clausole contrattuali che disciplinino doveri di confidenzialità anche dopo la cessazione dell’incarico. Il documento deve indicare le misure tecniche e organizzative minime che l’amministratore è tenuto ad applicare o rispettare: uso di credenziali individuali e non condivise, autenticazione forte/multi‑fattore per accessi privilegiati, separazione tra account amministrativo e account d’uso, utilizzo di workstation dedicate per attività amministrative, gestione centralizzata delle password o di sistemi di Privileged Access Management, registrazione e conservazione dei log di attività amministrative e divieto di memorizzazione locale di dati personali non autorizzata. Devono inoltre essere chiarite le regole in materia di accesso remoto (strumenti approvati, canali cifrati, indirizzi IP autorizzati) e di uso di dispositivi esterni o supporti rimovibili.
La nomina dovrebbe assegnare obblighi procedurali precisi: la necessità di operare nel rispetto del principio di least privilege, di documentare interventi significativi (change management) e di seguire procedure di backup e ripristino definite dall’organizzazione. È essenziale prevedere obblighi di tempestiva segnalazione di violazioni di sicurezza o incidenti alla figura designata per la gestione degli incidenti (es. Data Protection Officer o responsabile della sicurezza) e la collaborazione nelle attività di gestione dell’incidente, nelle notifiche agli interessati e alle autorità competenti se necessario. Devono essere indicati i requisiti di formazione e aggiornamento: tipo e frequenza della formazione obbligatoria in materia di protezione dei dati, registrazione delle attestazioni di partecipazione e verifica delle competenze tecniche.
Per consentire controlli e verifiche, la nomina deve specificare gli obblighi di cooperazione nell’ambito di audit interni o esterni e la disponibilità a fornire evidenze documentali (log, report di attività, risultati di controlli) su richiesta del titolare o del responsabile della sicurezza; nel caso di amministratore esterno, il documento o il contratto deve allinearsi a quanto prescritto dall’art. 28 GDPR prevedendo indicazioni su oggetto e durata del trattamento, natura e finalità, tipologie di dati, categorie di interessati, obblighi in tema di sicurezza, limiti all’utilizzo di sub‑responsabili, facoltà di effettuare verifiche e audit, modalità di restituzione o cancellazione dei dati a termine del contratto e responsabilità in caso di violazioni. È utile inoltre richiamare le misure di segregazione dei compiti (separation of duties) e ogni altra disposizione volta a mitigare rischi legati a concentrazione di privilegi.
Il documento di nomina dovrebbe prevedere anche gli aspetti amministrativi e sanzionatori: indicazione del riferimento alla policy disciplinare interna in caso di violazioni degli obblighi, modalità di revoca immediata delle credenziali in caso di abuso o cessazione del rapporto, obbligo di restituire o cancellare credenziali e eventuali supporti, e le modalità di registrazione della nomina (archiviazione del documento, conservazione delle evidenze relative alla formazione e alle autorizzazioni). Infine la nomina deve essere datata e sottoscritta dalle parti competenti (rappresentante del titolare/responsabile e dall’incaricato), con indicazione dei riferimenti per eventuali richieste di chiarimento (ufficio legale, DPO, responsabile IT) e con l’impegno a riesaminare periodicamente la nomina alla luce di cambiamenti organizzativi, tecnologici o normativi.
Esempio Nomina amministratore di sistema GDPR
Il/La sottoscritto/a _______________, in qualità di Legale Rappresentante della società _______________, con sede legale in _______________, codice fiscale/Partita IVA _______________, in qualità di Titolare del trattamento dei dati personali, ai sensi del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale vigente,
nomina con il presente atto quale Amministratore di Sistema il/la Sig./Sig.ra _______________, nato/a a _______________ il _______________, residente in _______________, codice fiscale _______________, documento di identità n. _______________ rilasciato da _______________ il _______________.
Oggetto della nomina
L’incarico ha per oggetto la gestione, amministrazione e sorveglianza degli accessi e delle infrastrutture informatiche utilizzate per il trattamento di dati personali del Titolare, comprese, a titolo esemplificativo ma non esaustivo, le seguenti risorse e sistemi: _______________.
Durata della nomina
La presente nomina ha efficacia dal _______________ fino al _______________ / fino a revoca formale comunicata per iscritto dal Titolare.
Compiti e responsabilità
– Gestire gli account e i privilegi di accesso alle risorse informatiche, applicando il principio del minimo privilegio;
– Implementare e mantenere misure tecniche e organizzative adeguate per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi;
– Eseguire regolari attività di manutenzione, aggiornamento software, applicazione di patch e hardening dei sistemi secondo le procedure aziendali;
– Effettuare e monitorare backup e procedure di ripristino dei dati;
– Monitorare i log di sistema, conservare e rendere disponibili le informazioni rilevanti per la gestione degli incidenti di sicurezza;
– Collaborare con il Responsabile della Protezione dei Dati (RPD/DPO) _______________ e con il Titolare nella valutazione del rischio e nell’adozione delle misure di mitigazione;
– Segnalare tempestivamente al Titolare e al RPD ogni sospetta violazione dei dati personali (data breach) e partecipare alle attività di gestione dell’incidente secondo le procedure aziendali;
– Mantenere un registro delle attività svolte quale amministratore di sistema, nei termini e con le modalità previste dalle procedure interne: _______________;
– Applicare misure di segregazione dei compiti e garantire che le operazioni privilegiate siano svolte conformemente alle policy aziendali: _______________.
Obblighi dell’incaricato
– Osservare obblighi di riservatezza e segretezza anche dopo la cessazione dell’incarico;
– Rispettare le istruzioni documentate fornite dal Titolare in materia di protezione dei dati e sicurezza informatica;
– Frequentare i corsi di formazione obbligatoria in materia di protezione dei dati e sicurezza informatica predisposti dal Titolare;
– Non utilizzare a fini personali le credenziali e gli strumenti messi a disposizione;
– Restituire al termine dell’incarico o su richiesta del Titolare tutte le credenziali, dispositivi e documenti acquisiti nell’esercizio dell’incarico.
Limitazioni e condizioni
– L’incaricato non è autorizzato a delegare il proprio incarico senza preventiva autorizzazione scritta del Titolare;
– Le attività dovranno essere svolte nel rispetto delle procedure interne: _______________ e delle misure di sicurezza tecniche e organizzative indicate nel Documento Programmatico sulla Sicurezza / Registro delle attività di trattamento: _______________;
– Eventuali attività straordinarie o di elevato impatto su dati personali richiedono preventiva autorizzazione scritta del Titolare e, ove previsto, consultazione del RPD.
Responsabilità
L’incaricato è responsabile, nei limiti delle proprie competenze e secondo le disposizioni di legge e contrattuali, del corretto adempimento degli obblighi assunti con la presente nomina. In caso di inosservanza delle disposizioni potranno essere applicate le previste misure disciplinari e adottate le azioni di responsabilità previste dalle normative vigenti e dai contratti applicabili.
Informativa e accettazione
Il Titolare dichiara di aver fornito al/alla nominato/a tutte le informazioni utili e le istruzioni necessarie per l’esecuzione dell’incarico. Il/la nominato/a dichiara di aver ricevuto copia della presente nomina, di aver preso visione delle procedure e delle misure di sicurezza applicabili e di accettare l’incarico alle condizioni qui indicate.
Luogo e data: _______________
Per il Titolare
Nome e Cognome: _______________
Qualifica: _______________
Firma: _______________
Per presa visione e accettazione (Incaricato/a)
Nome e Cognome: _______________
Firma: _______________
Conoscenza (RPD / Responsabile della Protezione dei Dati)
Nome e Cognome: _______________
Firma: _______________