(+39) 06.86.95.6900 info@microcredito.gov.it

LETTERA DI DESIGNAZIONE AMMINISTRATORE DI SISTEMA

LETTERA DI DESIGNAZIONE AMMINISTRATORE DI SISTEMA

ART. 28 DEL GDPR

 

L’Ente Nazionale per il Microcredito, con sede legale a Roma (RM), via Vittoria Colonna, n. 1, C.F. 97538720588, di seguito, per brevità, anche indicato come “ENM”, in qualità di Titolare del trattamento ai sensi del Regolamento (UE) 2016/679 (General Data Protection Regulation, “GDPR”)

PREMESSO CHE

- nell’ambito della propria attività il Titolare tratta dati personali, avvalendosi di strumenti elettronici;

- tale trattamento è soggetto alle disposizioni del GDPR, della normativa italiana di armonizzazione (decreto legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”), nonché ai Provvedimenti dell’Autorità Garante per la protezione dei dati personali (complessivamente “Normativa privacy”); 

- in forza del provvedimento del 27 novembre 2008, l’Autorità Garante per la protezione dei dati personali ha prescritto ai soggetti pubblici e privati l'adeguamento delle misure di sicurezza già in uso con l’adozione di altre e ulteriori finalizzate al corretto svolgimento delle funzioni degli amministratori di sistema;

- l’attribuzione delle funzioni di amministratore di sistema deve avvenire, previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato secondo le prescrizioni dell’Autorità Garante;

- il Titolare ha individuato nell’ambito della propria struttura i soggetti che svolgono le attività tipiche dell’amministratore di sistema sui dati e sistemi di cui si avvale il Titolare nell’ambito della propria attività di trattamento;

- la presente designazione, potrà essere modificata o revocata qualora le condizioni che ne giustificano la formalizzazione cambino oppure vengano meno. 

Tanto premesso e considerato, il Titolare del trattamento, come in epigrafe individuato e rappresentato, con la presente la designa Amministratore di Sistema (di seguito, “ADS”).

L’ ADS con la presente designazione assume il dovere di compiere quanto si renderà necessario ai fini del rispetto e della corretta applicazione della Normativa privacy, specialmente sotto il profilo della sicurezza dei dati trattati, anche incidentalmente ed indirettamente, nell’esercizio delle sue funzioni di amministratore di sistema. 

Nello specifico, le funzioni che riguardano l’ADS attengono alla gestione, sotto il profilo degli aspetti di sicurezza, dei sistemi deputati al trattamento dati gestiti dall’amministratore di sistema per conto del Titolare e secondo indicazione di quest’ultimo.

Specificamente, con riferimento alla gestione dei sistemi informativi utilizzati dall’Ente Nazionale per il Microcredito, l’ADS sarà tenuto a:

-    agire nell’ambito di operatività consentito in base al profilo di autorizzazione assegnato, potendo effettuare le operazioni necessarie a garantire il corretto funzionamento nonché la sicurezza di tali sistemi. Nello svolgimento delle funzioni assegnate, l’ADS prende atto che non è autorizzato a svolgere attività di trattamento ulteriori rispetto a quelle necessarie per la messa in sicurezza e per la manutenzione;

-    gestire, attenendosi alle disposizioni impartite dal Titolare, il sistema informatico nel quale risiedono le banche dati personali, in osservanza della Normativa privacy;

-    accedere alle banche dati attendendosi alle disposizioni impartite dal Titolare;

-    non creare banche dati nuove senza espressa autorizzazione del Titolare;

-    mantenere l’assoluto riserbo sui dati personali di cui viene a conoscenza, anche incidentalmente o per caso fortuito, in ragione dell'esercizio delle funzioni/mansioni assegnate; 

-    evitare di asportare supporti di qualsivoglia natura contenenti dati personali senza autorizzazione del Titolare;

-    rispettare scrupolosamente tutte le misure di sicurezza già adottate o che verranno adottate in seguito dal Titolare;

-    individuare misure di sicurezza ulteriori a quelle già in uso, che dovessero ritenersi necessarie per garantire congruo livello di protezione dei dati personali;

-    limitatamente alla titolarità tecnica dei sistemi operativi in uso, effettuare l’aggiornamento dei medesimi nel rispetto delle disposizioni comunque impartite dall’Ente Nazionale per il Microcredito, al fine di evitare accessi non consentiti ovvero trattamenti illeciti e la perdita dei dati; 

-    mantenere segrete le credenziali di autenticazione assegnate per l’accesso alla rete del Titolare;

-    in caso di problematiche concernenti la sicurezza dei dati e dei sistemi, è fatto obbligo all’ADS di segnalarle senza ritardo al Titolare, indicando tutti gli aspetti necessari a circoscrivere la vulnerabilità, fornendo poi tutto il supporto possibile per apportare i correttivi necessari.

-    generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate, gli account (quindi le parole chiave ed i Codici identificativi personali) da assegnare alle persone autorizzate al trattamento dei dati dal Titolare, svolgendo anche la funzione di custode delle copie delle credenziali;

-    adottare i programmi antivirus, firewall ed altri strumenti software o hardware indicati dal Titolare atti a garantire la massima misura di sicurezza nel rispetto di quanto dettato dal GDPR;

-    adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati personali e provvedere al ricovero periodico degli stessi con copie di back-up, vigilando sulle procedure adottate dal Titolare;

-    assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;

-    provvedere alla distruzione e smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di smaltimento degli strumenti elettronici;

-    vigilare sugli interventi informatici diretti al sistema informatico della società effettuati da operatori esterni. In caso di anomalie, segnalarle direttamente al Responsabile ADS e/o al Titolare;

-    rispettare le istruzioni ricevute dal Titolare anche contenute nei documenti che disciplinano l’uso della strumentazione elettronica e informatica, le misure di sicurezza e le relative procedure applicate.

L’ADS è fin d’ora reso edotto del fatto che il suo operato sarà oggetto di loggatura e registrazione e che, con cadenza almeno annuale, il suo profilo sarà oggetto di attività di monitoraggio al fine di verificare la rispondenza alle misure organizzative, tecniche e di sicurezza predisposte per l’esercizio delle funzioni dell’amministratore di sistema. Ciò conformemente al punto 4.4 del Provvedimento del 27 novembre 2008.

È fatto presente che la presente designazione potrà essere liberamente revocata in qualunque momento dal Titolare.

Roma, lì ____________________

Ente Nazionale per il Microcredito                                                                                                      



L’Amministratore di Sistema

                                               

                                Luogo e Data