Responsabile della sicurezza informatica

Nelle piccole realtà spesso coincide con il titolare del trattamento, mentre nelle realtà più complesse è un soggetto (o più di uno) con la qualifica di amministratore di sistema. 

Per quanto riguarda i trattamenti di dati effettuati mediante l’utilizzo di strumenti elettronici, ciò che viene riportato nell’Allegato B al Codice Privacy costituisce prerogativa dei soggetti che svolgono funzioni proprie degli amministratori di sistema e, quindi, in definitiva dei soggetti responsabili della sicurezza informatica. Saranno proprio questi ad accollarsi l’onere di attestare l’adozione e la sussistenza delle misure previste dalla legge e risulteranno così più valorizzati altri documenti (per esempio quello riportante l’elenco degli amministratori di sistema con l’indicazione delle funzioni a loro assegnate; quello relativo alla loro nomina; oppure le attestazioni di conformità, anche su base contrattuale, sul rispetto delle regole in tema di privacy, rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici) che, in presenza del DPS (abrogato nel 2012), erano a volte trascurati, altre volte proprio inesistenti.
Ricordiamo, tra l’altro, che il citato Provvedimento del Garante di novembre 2008, contiene importanti prescrizioni di carattere pratico riguardanti l’attività degli amministratori di sistema, in virtù della potenziale loro facoltà di trattare molteplici dati personali. Ci si riferisce, in particolare, all’implementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nell’espletare la propria attività, al fine di consentire un controllo e una verifica costante sulla correttezza del loro operato.

La formazione obbligatoria
Anche le nomine dei responsabili del trattamento, se designati, le nomine degli incaricati (a meno che tale nomina non sia inserita nel contratto generale che regola i rapporti con il titolare, o derivi da un organigramma o mansionario che specifica, per ogni incaricato, “chi fa che cosa”), nonché le informative -con l’eventuale richiesta di consenso all’interessato- acquisiranno, accanto a una maggiore rilevanza in sede di controllo, una rinnovata identità. Sono documenti, fra l’altro, soggetti a eventuale continuo aggiornamento, derivante da interventi legislativi, o da nuovi provvedimenti emanati dal Garante.
A questi aspetti non può rimanere estranea la formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto l’aspetto normativo, quanto sotto l’aspetto tecnico-organizzativo: l’attestazione di aver provveduto, o comunque sia la risultanza che effettivamente sono state attuate attività formative, servirà quindi al titolare per dimostrare di aver messo gli incaricati in condizione di rispettare le istruzioni contenute nelle rispettive nomine.