GDPR – amministratori di sistema 2a parte

Dobbiamo ritornare ancora sulla tematica GDPR ed amministratori di sistema; purtroppo il livello di incertezza è molto elevato.

Riceviamo (spesso) più o meno questa domanda: è obbligo per il D.P.O. designare individualmente i singoli amministratori di sistema?

Intanto, la domanda è fondata su di un errore; il D.P.O. non designa nessuno!

A questa pagina i suoi compiti. Rimane quindi esclusivamente a carico del Titolare del Trattamento l’adempimento del relativo provvedimento, che richiede, al punto b.

b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l´elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Altra domanda ricorrente: possiamo nominare una società esterna quale amministratore di sistema?

No, in quanto il provvedimento si riferisce chiaramente a persone fisiche (valutazione delle caratteristiche soggettive, designazioni individuali, ecc.).

Come si valuta l’esperienza, la capacità e l’affidabilità del soggetto?

Il titolare, prima di attribuire il ruolo di “amministratore di sistema” ad un soggetto, deve valutarne l’esperienza, la capacità e l’affidabilità; il relativo processo di valutazione, nella forma scritta, deve essere documentato e mantenuto agli atti.

La base di partenza è senz’altro il curriculum vitae, e le maggiori certificazioni tecniche (Microsoft, Red Hat, Oracle, Cisco, VmWare) sono senza dubbio un plus; ovviamente la sola certificazione priva di esperienza ha valore relativo.

Allo stato attuale, non esistono corsi abilitanti alla professione di amministratore di sistema; non fatevi abbindolare.