Tale adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico, o nella modifica dell’esistente, ma impone al titolare nuove misure e accorgimenti, tra cui gli adempimento in ordine all’esercizio dei doveri di controlla da part del titolare, c.d. due diligence, sulle attività dell’amministrazione.
Nella pratica occorre:
- Indicare coloro che potrebbero ricadere nella categoria di amministratore di sistema;
- Valutare i soggetti designati quali amministratore di sistema in ragione dell’esperienza, della capacità e dell’affidabilità, nonché della garanzia da essi prestata di rispetto delle vigenti disposizioni in materia di trattamento, compreso il profilo sicurezza;
- Procedere alla designazione individuale degli amministratori di sistema, delimitandone gli ambiti di operatività a seconda dal profilo di autorizzazione assegnato;
- Verificare l’operato dell’amministratore di sistema con cadenza almeno annuale, adempiendo agli obblighi di due diligence, controllando così la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti;
- Registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistema idonei alla registrazione degli accessi logici (autenticazione informatica).
Per designare un amministratore di sistema occorre predisporre una lettera di incarico specifica che contenga:
- Un’attestazione della conformità a legge delle caratteristiche dell’incaricato;
- Un’elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;
- L’indicazione delle verifiche, almeno annuali, che il titolare svolgerà sulle attività dell’amministratore di sistema;
L’avvertenza che la nomina e il relativo nominativo saranno comunicate al personale ed eventualmente ai terzi nei modi richiesti dalla legge.