Di seguito una sintesi degli adempimenti, anche tecnici, da seguire:

• Il titolare del trattamento dei dati deve nominare, mediante designazione individuale, lo/gli amministratore/i di sistema (system, network e database administrator), quale/i Responsabile/i ovvero di Incaricato/i di trattamento, indicando analiticamente gli ambiti di operatività consentiti. Il provvedimento si riferisce a persone fisiche. Il titolare deve valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema", che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. E' bene documentare tali scelte in caso di verifiche future (archiviando un C.V., datato e firmato, di ciascun amministratore che indichi chiaramente i titoli di studio, le certificazioni professionali, le esperienze professionali, ecc).
• Gli estremi identificativi degli amministratori di sistema, con l'elenco delle funzioni attribuite, devono essere riportati in un documento interno da rendere disponibile in caso di accertamenti anche da parte del Garante. Nel caso l'attività di tali soggetti riguardi sistemi che trattano o permettono il trattamento di informazioni di carattere personale dei lavoratori, l'identità degli stessi deve essere resa nota all'interno dell'organizzazione, mediante o l'informativa resa agli interessati, o l'adozione del disciplinare tecnico (provv. Garante n. 13 del 1 marzo 2007), o strumenti di comunicazione interna (es. intranet), o tramite procedure formalizzate ad istanza del lavoratore.Se i servizi di amministrazione di sistema sono affidati in outsourcing, il Titolare o il Responsabile esterno deve conservare gli estremi identificativi delle persone individuate quali amministratori di sistema; l'attuazione di tale compito, mediante previsione nella designazione, può essere attribuito anche al responsabile di trattamento.
• L'attività degli amministratori di sistema deve essere oggetto di verifica almeno annuale da parte dei titolari o dei responsabili di trattamento (a cui sia attribuito tale compito in modo specifico). A tale proposito si propone una bozza di documento di "due diligence" che fornisca i seguenti output: giudizio di conformità per il/gli amministratori di sistema nominati sugli adempimenti richiesti; valutazione dei possibili rischi e relativi impatti; indicazioni dei possibili interventi se necessari o opportuni.
• Il titolare del trattamento dei dati adottata sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Le caratteristiche di mantenimento dell'integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e "certificati".

LIVELLO DI INFORMATIZZAZIONE

Download modulistica. Disponibili on-line da scaricare i moduli necessari ad avviare la procedura che porta allerogazione del servizio

LIVELLO DI INFORMATIZZAZIONE FUTURA

Download modulistica. Disponibili on-line da scaricare i moduli necessari ad avviare la procedura che porta allerogazione del servizio