Check list periodiche: la figura dell’Amministratore di Sistema

Buona pratica: rivedere periodicamente lo stato del Sistema Privacy e Sicurezza

Uno dei compiti più importanti per un Sistema Privacy e Sicurezza (SPS) è quello di rivedere periodicamente lo stato e l’applicazione delle politiche studiate durante la fase di implementazione.

Questo serve per mantenerlo aggiornato, e quindi adeguato, e per verificare se le condizioni di sicurezza sono ancora valide nonostante i cambiamenti che possono essere intercorsi nel tempo.

La figura dell’Amministratore di Sistema

Un ruolo fondamentale viene ricoperto dall’Amministratore di Sistema, figura dedicata alla gestione e alla manutenzione di impianti di elaborazione dati con cui vengano effettuati Trattamenti:

• sistemi di DBManagement (SQL Server, MySQL);
• sistemi software gestionali ERP;
• dispositivi hardware, reti locali e apparati di sicurezza;
• il personale e le procedure/autorizzazioni di accesso.

insomma tutto quanto consente di gestire (o proteggere) i dati personali.

L’Amministratore di Sistema deve inoltre affiancare il Titolare, che nella gran parte delle piccole imprese non possiede le caratteristiche tecniche, in quanto si occupa normalmente di altre attività (amministrazione, produzione, commerciale, etc) e deve quindi avere una persona di fiducia cui rivolgersi.

Questa figura deve quindi essere dotata di buone conoscenze tecniche e soprattutto deve essere in grado di gestire:

• la visione generale della struttura del SPS;
• la struttura aziendale (organigramma) e le funzioni del personale;
• i fornitori esterni e i consulenti;
• l’acquisto/smaltimento e relativo inventario dei dispositivi.

Per ciascuna di queste voci affronteremo come gestire la stesura di un “piano di manutenzione”.

Vi proporremo una lista di controlli periodici e affronteremo le norme per mantenere adeguati dispositivi.

Vi spiegheremo come effettuare la formazione del personale coinvolto, al fine di garantire la corretta funzionalità del Sistema e come identificare le persone adatte a ricoprire i vari ruoli in azienda.

Un breve riepilogo degli argomenti che tratteremo lo trovate qui sotto:

1. Il concetto di “privacy by design” (art.25 GDPR) e suo campo applicativo;
2. Definizione delle strutture di trattamento dati e repository;
3. Procedure di identificazione del personale addetto e dei Responsabili;
4. Adempimento degli obblighi di formazione;
5. Verifica delle caratteristiche di sicurezza (SLA) dei fornitori;
6. La gestione di un inventario dei dispositivi;
7. Le pratiche per lo smaltimento corretto dei dispositivi obsoleti;
8. Gestire il rischio residuo;
9. Ispezioni (e prove tecniche).

Seguiteci nelle prossime uscite per avere maggiori indicazioni, e ricordiamo che aderendo alla funzione GDPRemium potrete avere anche contenuti riservati agli utenti registrati.