GDPR – amministratori di sistema 2a parte

Debbo ritornare ancora sulla tematica GDPR ed amministratori di sistema; purtroppo il caos regna sovrano.

Ricevo (spesso) più o meno questa domanda: è obbligo per il D.P.O. designare individualmente i singoli amministratori di sistema?

Intanto, la domanda è fondata su di un errore; il D.P.O. non designa nessuno! A questa pagina i suoi compiti. Rimane quindi esclusivamente a carico del Titolare del Trattamento l’adempimento del relativo provvedimento, che richiede, al punto b.

b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l´elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Altra domanda ricorrente: possiamo nominare una società esterna quale amministratore di sistema?

No, in quanto il provvedimento si riferisce chiaramente a persone fisiche (valutazione delle caratteristiche soggettive, designazioni individuali, ecc.).

Come si valuta l’esperienza, la capacità e l’affidabilità del soggetto?

Il titolare, prima di attribuire il ruolo di “amministratore di sistema” ad un soggetto, deve valutarne l’esperienza, la capacità e l’affidabilità; il relativo processo di valutazione, nella forma scritta, deve essere documentato e mantenuto agli atti. La base di partenza è senz’altro il curriculum vitae, e le maggiori certificazioni tecniche (Microsoft, Red Hat, Oracle, Cisco, VmWare) sono senza dubbio un plus; ovviamente la sola certificazione priva di esperienza ha poco valore.

Allo stato attuale, non esistono corsi abilitanti alla professione di amministratore di sistema; non fatevi abbindolare.