Nomina amministratore di sistema – Esempio e Fac simile

Tra
La Società [denominazione], con sede legale in [indirizzo completo], iscritta al Registro delle Imprese di [luogo] al n. […], C.F. e P. IVA […], di seguito indicata come “Società” o “Titolare del trattamento”, in persona del Sig. [nome cognome], nato a [luogo] il [data], C.F. […], domiciliato per la carica presso la sede della Società, in qualità di [indicare la qualifica (ad es. Legale Rappresentante, Amministratore Unico, Presidente del CdA, etc.)],

premesso che

in data […] il Consiglio di Amministrazione (o altro organo competente) ha deliberato di procedere alla nomina di un Amministratore di Sistema per la gestione tecnica del sistema informatico, in conformità con quanto previsto dalla normativa vigente in materia di protezione dei dati personali, ivi inclusi il D.lgs. 30 giugno 2003 n. 196 (“Codice Privacy”) e il Regolamento (UE) 2016/679 (“GDPR”);

il Sig. [nome cognome] possiede i requisiti di esperienza, capacità e affidabilità richiesti dalle vigenti disposizioni per adempiere agli obblighi in materia di sicurezza del trattamento dei dati personali e per svolgere attività di gestione tecnica del sistema informatico;

si intende, altresì, designare lo stesso Sig. [nome cognome] quale Responsabile del Trattamento Informatico, ai sensi dell’art. 29 del Codice Privacy (per quanto ancora applicabile) e delle norme del GDPR;

tutto ciò premesso, la Società nomina:

Sig. [nome cognome], nato a [luogo] il [data], residente in [indirizzo], C.F. […], attualmente operante nell’organizzazione aziendale della Società con la qualifica di [specificare ruolo/posizione],

quale
Amministratore di Sistema e Responsabile del Trattamento Informatico

nell’ambito dell’organizzazione della Società, con i poteri, i compiti e le responsabilità di seguito indicati.

1. Oggetto e Finalità dell’Incarico
L’incarico affidato al Sig. [nome cognome] (di seguito anche “Amministratore di Sistema” o “Responsabile del Trattamento Informatico”) ha ad oggetto:
La gestione e la manutenzione del sistema informatico della Società, dei dispositivi e dei software in uso, incluse le banche dati che contengono dati personali;
L’adozione e l’aggiornamento delle misure di sicurezza informatiche, minime e idonee, previste dalle disposizioni vigenti (D.lgs. 196/2003 e s.m.i. e Regolamento (UE) 2016/679);
La vigilanza sull’accesso e sul corretto utilizzo delle risorse informatiche, nonché l’adozione di procedure di sicurezza in conformità alle istruzioni del Titolare (e/o di un eventuale altro Responsabile del trattamento, se nominato);
Il coordinamento, con il Titolare (o altro Responsabile), delle attività degli incaricati del trattamento per quanto concerne le operazioni su sistemi e dati.

2. Principali Compiti e Responsabilità
L’Amministratore di Sistema/Responsabile del Trattamento Informatico è tenuto a:
Gestione del sistema informatico

Garantire la corretta funzionalità e sicurezza del sistema informatico, delle reti e delle banche dati, nel rispetto del Disciplinare Tecnico allegato al Codice Privacy (per quanto ancora applicabile) e delle disposizioni del GDPR.
Attenersi alle istruzioni del Titolare (o del Responsabile, se nominato) in materia di sicurezza informatica e di protezione dei dati personali.
Sicurezza informatica (artt. 31 e ss. D.lgs. 196/2003 e GDPR)
Predisporre, aggiornare e adeguare il sistema di sicurezza informatico alle disposizioni vigenti e alle future eventuali norme in materia.
Assegnare e gestire il sistema di autenticazione informatica, generando, sostituendo e invalidando le credenziali di accesso (password, codici identificativi, ecc.) per gli incaricati del trattamento.
Disattivare tempestivamente le credenziali di accesso in caso di cessazione del rapporto di lavoro o di incarico, o quando non utilizzate per un periodo superiore a [specificare il periodo massimo, es. 6 mesi].
Adottare o segnalare al Titolare l’adozione di adeguati programmi antivirus, firewall e di ogni altro strumento hardware/software necessario a garantire la protezione da attacchi informatici e la sicurezza dei dati.
Backup e conservazione dei dati
Pianificare e provvedere all’esecuzione di copie di sicurezza (backup) dei dati, verificandone periodicamente l’efficacia, l’integrità e la possibilità di ripristino.
Conservare le copie di backup in luoghi sicuri e idonei, evitando la perdita, la distruzione o la diffusione non autorizzata dei dati.
Smaltimento supporti e distruzione dati
Procedere, o fornire istruzioni al personale competente, alla sicura cancellazione dei dati personali dai supporti di memorizzazione destinati al riuso o allo smaltimento, nel rispetto delle disposizioni del Garante (in particolare il Provvedimento del 13 ottobre 2008).
Vigilanza e interventi di terzi
Vigilare sulle attività di manutenzione e assistenza svolte da operatori esterni, segnalando immediatamente al Titolare (o al Responsabile) eventuali anomalie o criticità riscontrate.
Trattamento di dati sensibili e/o giudiziari (se applicabile)
Adottare le ulteriori misure minime e idonee di sicurezza previste per il trattamento di dati sensibili e/o giudiziari, conformemente al Disciplinare Tecnico e alle disposizioni del GDPR (artt. 9 e 10).
Coordinamento degli incaricati
Coordinare, in collaborazione con il Titolare (o il Responsabile, se nominato), le attività operative degli incaricati del trattamento, verificando che i dati personali siano trattati in modo lecito, corretto e sicuro.
Rapporti con il Garante e con il Titolare
Prestare la massima collaborazione nell’attuazione delle prescrizioni eventualmente impartite dal Garante per la Protezione dei Dati Personali.
Comunicare tempestivamente al Titolare qualunque situazione che possa compromettere la sicurezza dei dati o il corretto funzionamento del sistema.
Verifica del rispetto delle norme su licenze e software
Controllare che i software installati (sistemi operativi, applicativi, antivirus, ecc.) siano conformi alle norme sulla tutela del diritto d’autore e provvisti di regolare licenza.
Tracciamento accessi (log di amministrazione di sistema)
Adottare e gestire sistemi idonei alla registrazione degli accessi logici al sistema (log in, log out, username utilizzato, data e ora dell’evento), assicurando la completezza e l’inalterabilità delle registrazioni e conservandole per un periodo congruo (non inferiore a 6 mesi), così come richiesto dai Provvedimenti del Garante.
Verificare periodicamente l’integrità degli access log e segnalare eventuali accessi anomali al Titolare.

3. Credenziali di Autenticazione
All’Amministratore di Sistema vengono assegnate le credenziali di autenticazione e i relativi privilegi di accesso necessari allo svolgimento dei compiti e delle funzioni descritte. Tali credenziali sono personali e non cedibili, e ne è fatto divieto di condividerle con terzi non autorizzati.

4. Poteri e Risorse
Qualora l’Amministratore di Sistema sia nominato contestualmente Responsabile del Trattamento Informatico, gli sono conferiti i poteri e le risorse organizzative ed economiche necessarie per:
garantire il costante adeguamento alle misure minime e idonee di sicurezza,
predisporre interventi tecnici tempestivi in caso di incidenti di sicurezza,
mantenere aggiornata la documentazione tecnica necessaria a comprovare la conformità alle disposizioni vigenti.

5. Verifiche e Controlli Periodici
La Società si riserva di effettuare, con cadenza almeno annuale, le necessarie verifiche sulle attività svolte dall’Amministratore di Sistema. Quest’ultimo:
è tenuto a fornire la massima collaborazione e a produrre, se richiesto, una relazione scritta periodica (ad es. trimestrale) relativa agli interventi eseguiti, alle procedure di sicurezza implementate, alle criticità rilevate e agli accorgimenti proposti.

6. Comunicazione della Nomina
Della presente nomina sarà data opportuna informazione a tutto il personale interessato, con le modalità ritenute più adeguate (ad es. mediante regolamento interno, comunicazione su Intranet aziendale, ordine di servizio, specifico richiamo nell’informativa ex art. 13 D.lgs. 196/2003 e Regolamento (UE) 2016/679).

7. Durata dell’Incarico
La presente nomina ha validità [a tempo indeterminato / fino a specifica data / o altra indicazione], salvo revoca anticipata o sostituzione, da comunicarsi per iscritto.
La cessazione del rapporto di lavoro o della collaborazione con la Società comporta automaticamente la decadenza dall’incarico di Amministratore di Sistema e Responsabile del Trattamento Informatico.

8. Accettazione dell’Incarico
Firmando il presente atto, il Sig. [nome cognome]:
accetta la nomina ad Amministratore di Sistema e, se prevista, a Responsabile del Trattamento Informatico,
dichiara di possedere approfondita conoscenza della normativa in materia di protezione dei dati personali, nonché degli obblighi e delle responsabilità derivanti dal ruolo,
si impegna a svolgere l’incarico con diligenza e nel rispetto di tutte le disposizioni vigenti.

Luogo e Data
[luogo], [data]

Per la Società (Titolare del Trattamento)
[Firma]
[Nome e Cognome, Qualifica (Legale Rappresentante)]

Per accettazione
L’Amministratore di Sistema e Responsabile del Trattamento Informatico
[Firma]
[Nome e Cognome]