La nomina dell’amministratore di sistema rappresenta un passaggio fondamentale per ogni organizzazione che gestisce dati personali e infrastrutture informatiche, perché consente di definire in modo chiaro ruoli, responsabilità e limiti operativi di una figura particolarmente delicata sotto il profilo della sicurezza e della conformità normativa. Non si tratta di un adempimento meramente formale, ma di uno strumento essenziale per garantire il controllo sugli accessi ai sistemi, la tracciabilità delle attività più sensibili e la corretta protezione delle informazioni aziendali.
In questo contesto, predisporre una nomina adeguata significa individuare con precisione i compiti affidati, le autorizzazioni concesse e le misure di vigilanza necessarie, nel rispetto della disciplina in materia di protezione dei dati personali e dei principi di accountability. Una guida dedicata a questo tema aiuta quindi a comprendere quando la nomina è necessaria, quali elementi deve contenere e come redigerla in modo coerente con l’organizzazione interna e con i rischi connessi ai sistemi gestiti.
Come compilare una nomina amministratore di sistema
La nomina di un amministratore di sistema, per essere giuridicamente solida e realmente utile sul piano organizzativo e probatorio, deve contenere un insieme di informazioni che consentano di identificare con precisione chi viene incaricato, quali compiti gli sono affidati, entro quali limiti può operare, su quali sistemi interviene, quali regole deve rispettare e quali misure di controllo il titolare dell’organizzazione intende mantenere. Non si tratta, quindi, di una semplice designazione formale o di una comunicazione interna generica, ma di un atto che deve riflettere la particolare delicatezza del ruolo, poiché l’amministratore di sistema può avere accesso, diretto o potenziale, a infrastrutture critiche, archivi informatici, credenziali, dati personali e informazioni riservate dell’ente o dell’impresa.
In primo luogo, la nomina deve identificare in maniera chiara e inequivoca il soggetto che conferisce l’incarico e il soggetto che lo riceve. Questo significa che occorre indicare i dati dell’organizzazione che procede alla designazione, specificando chi agisce in nome e per conto della stessa, con quale potere e in quale qualità, e i dati dell’interessato nominato, in modo da non lasciare dubbi sulla persona fisica effettivamente investita del ruolo. Se il soggetto opera per una società esterna, la nomina deve essere ancora più attenta, perché è necessario distinguere tra l’impresa fornitrice del servizio e la concreta persona fisica che svolgerà le attività tecniche. Dal punto di vista giuridico, infatti, la funzione di amministratore di sistema non dovrebbe restare attribuita in modo impersonale a un fornitore o a una struttura astratta, ma deve essere riconducibile a individui determinati, o quantomeno determinabili in modo certo, tenendo conto che i poteri attribuiti sono spesso di elevata invasività tecnica.
La nomina deve poi chiarire il fondamento dell’incarico, cioè il contesto nel quale esso viene conferito. È opportuno che emerga se l’amministratore di sistema opera come dipendente, collaboratore, consulente o dipendente di un outsourcer, perché da questo derivano conseguenze diverse sul piano della disciplina del rapporto, della responsabilità, della riservatezza e dei controlli. Nello stesso atto è importante richiamare il quadro normativo e organizzativo nel quale la nomina si inserisce, soprattutto quando i sistemi gestiti comportano il trattamento di dati personali. In tale prospettiva, l’atto dovrebbe riflettere la necessità che il soggetto incaricato operi nel rispetto della normativa in materia di protezione dei dati, della sicurezza informatica, delle policy aziendali, delle istruzioni interne e delle regole di riservatezza.
Un punto essenziale è la descrizione dell’ambito oggettivo dell’incarico. La nomina deve spiegare quali sistemi, infrastrutture, piattaforme, archivi, basi dati, apparati di rete, server, dispositivi, applicazioni e ambienti tecnici rientrano nella sfera di competenza dell’amministratore designato. Più tale ambito viene delimitato in modo puntuale, più diventa chiaro quali attività siano autorizzate e quali, invece, esulino dai poteri conferiti. Questa delimitazione è particolarmente importante nelle organizzazioni complesse, nelle quali non tutti gli amministratori di sistema hanno competenza su tutti i sistemi: può esservi chi amministra esclusivamente i server di autenticazione, chi le reti, chi i database, chi la sicurezza perimetrale, chi le postazioni client, chi gli ambienti cloud. Una nomina correttamente redatta deve quindi evitare formule eccessivamente generiche, come quelle che attribuiscono un potere indistinto su “tutti i sistemi aziendali”, se tale potere non corrisponde alla realtà organizzativa.
Accanto alla delimitazione dei sistemi, la nomina deve contenere una descrizione delle funzioni concretamente affidate. È utile che emerga se il soggetto è autorizzato, ad esempio, a installare e configurare software e hardware, gestire utenze e credenziali, assegnare profili di autorizzazione, eseguire manutenzione ordinaria e straordinaria, monitorare il funzionamento degli apparati, intervenire in caso di guasti o di incidenti di sicurezza, gestire attività di backup e ripristino, controllare i log di sistema, apportare aggiornamenti di sicurezza, eseguire attività di supporto tecnico di secondo livello, accedere alle console di amministrazione o interagire con fornitori tecnologici terzi. La rilevanza di questa parte risiede nel fatto che il perimetro dei compiti definisce anche il perimetro della legittimazione all’accesso e all’operatività. Un amministratore di sistema non è titolare di un potere generale di curiosità o di controllo indiscriminato sui dati trattati dall’organizzazione; dispone invece di facoltà tecniche strettamente funzionali alle attività che gli sono state affidate.
Per questa ragione la nomina deve chiarire anche i limiti dell’incarico. È una componente spesso trascurata ma giuridicamente decisiva. Occorre precisare che l’accesso ai sistemi e, soprattutto, ai dati personali o alle informazioni riservate presenti nei sistemi stessi può avvenire solo nei limiti di quanto necessario per adempiere alle mansioni affidate, sulla base di esigenze tecniche, organizzative o di sicurezza, e nel rispetto del principio di necessità e di minimizzazione. Se determinate categorie di dati richiedono cautele rafforzate, come nel caso dei dati appartenenti a particolari categorie ai sensi della disciplina privacy, dei dati giudiziari, dei segreti industriali, dei dati sanitari o di informazioni coperte da obblighi legali o contrattuali di riservatezza, la nomina dovrebbe evidenziare espressamente tali cautele e, se necessario, subordinare l’accesso a procedure specifiche, autorizzazioni preventive o meccanismi di tracciamento rafforzato. È importante che l’amministratore comprenda formalmente di non poter utilizzare i privilegi tecnici per finalità estranee al servizio, né per consultazioni arbitrarie, né per acquisire, copiare, diffondere o conservare informazioni oltre quanto richiesto dall’attività di amministrazione.
L’atto di nomina deve inoltre disciplinare il tema delle credenziali e delle autorizzazioni. Poiché l’amministratore di sistema opera spesso mediante account privilegiati o di superutente, è fondamentale che la nomina stabilisca che le credenziali devono essere individuali, non condivise se non nei casi eccezionali tecnicamente inevitabili e comunque regolati, custodite con particolare cura e utilizzate solo in conformità alle istruzioni ricevute. Se l’organizzazione prevede account nominativi, account di emergenza, meccanismi di autenticazione multifattore, rotazione periodica delle password o procedure di escrow delle credenziali, questi aspetti dovrebbero trovare riscontro nell’atto o almeno essere richiamati per relationem, mediante rinvio a policy e procedure interne che l’amministratore dichiara di conoscere e accettare. Una nomina ben formulata dovrebbe anche chiarire l’obbligo di non consentire a terzi l’utilizzo delle proprie credenziali e di segnalare immediatamente qualunque compromissione, sospetto abuso o perdita di controllo delle stesse.
Un’altra area centrale è quella relativa alla tracciabilità delle operazioni. In presenza di poteri amministrativi ampi, la nomina deve richiamare l’esistenza di sistemi di logging e registrazione degli accessi e delle attività, spiegando che le operazioni effettuate dall’amministratore sui sistemi saranno tracciate secondo le regole organizzative e normative applicabili, per finalità di sicurezza, verifica, audit, continuità operativa e accertamento di eventuali responsabilità. Questo profilo non ha solo una funzione di controllo ex post, ma anche di tutela dell’amministratore stesso, perché rende possibile distinguere le attività lecite e autorizzate da usi impropri riconducibili ad altri soggetti. È utile che l’atto faccia capire che la tracciatura non è un elemento accessorio, ma una componente strutturale dell’esercizio del ruolo, specialmente nei contesti in cui si trattano dati personali o informazioni ad alta sensibilità.
La nomina deve poi esplicitare gli obblighi di riservatezza. Chi opera come amministratore di sistema viene spesso a conoscenza, anche incidentalmente, di dati, documenti, comunicazioni, configurazioni di sicurezza, architetture di rete, vulnerabilità, credenziali o informazioni aziendali riservate. L’atto deve formulare chiaramente l’obbligo di mantenere il segreto su tutto ciò di cui il soggetto venga a conoscenza nell’esercizio delle sue funzioni, vietando non solo la divulgazione esterna, ma anche l’utilizzo interno non giustificato e la consultazione non necessaria. Questo obbligo dovrebbe essere concepito in termini ampi, comprendendo le informazioni relative ai clienti, ai dipendenti, ai fornitori, ai partner commerciali, al know-how aziendale, alle misure di sicurezza adottate e a ogni altro elemento la cui conoscenza derivi dall’accesso privilegiato ai sistemi. È opportuno che la nomina specifichi che tale obbligo permane anche dopo la cessazione dell’incarico o del rapporto di lavoro o di collaborazione.
Un contenuto altrettanto importante riguarda le istruzioni operative e l’obbligo di conformarsi alle politiche interne. La nomina non deve necessariamente trasformarsi in un manuale tecnico, ma deve indicare che l’amministratore di sistema è tenuto a operare nel rispetto delle policy aziendali in materia di sicurezza informatica, gestione degli accessi, protezione dei dati, utilizzo degli strumenti, classificazione delle informazioni, gestione degli incidenti, business continuity, change management e conservazione dei log. È utile anche richiamare l’obbligo di attenersi alle istruzioni del titolare, del datore di lavoro, del responsabile IT o di altro referente organizzativo individuato. In questo modo si evita che il ruolo tecnico venga percepito come autonomo in senso assoluto: l’amministratore di sistema dispone di competenze specialistiche e di strumenti elevati, ma opera comunque all’interno di una catena di responsabilità e di un assetto organizzativo predefinito.
L’atto dovrebbe chiarire il regime dei controlli e delle verifiche cui l’operato dell’amministratore è soggetto. In una corretta governance, infatti, il conferimento di privilegi elevati non esclude ma anzi richiede controlli periodici sull’adeguatezza delle attività svolte, sulla persistenza delle esigenze di accesso, sulla coerenza tra compiti assegnati e autorizzazioni concesse, sul rispetto delle procedure e sul corretto mantenimento delle misure di sicurezza. È importante che la nomina faccia emergere il potere dell’organizzazione di effettuare audit, riesami periodici dei profili autorizzativi, verifiche sui log, ispezioni interne e controlli di conformità. In presenza di amministratori di sistema esterni, può essere opportuno prevedere anche obblighi di collaborazione in sede di audit e di esibizione della documentazione tecnica o delle evidenze relative alle attività svolte.
Un altro elemento rilevante è la specificazione delle responsabilità. La nomina deve chiarire che il soggetto è responsabile del corretto esercizio delle attività affidate entro il perimetro dei compiti e dei poteri ricevuti, e che eventuali violazioni delle istruzioni, delle misure di sicurezza, degli obblighi di riservatezza o della normativa applicabile possono comportare conseguenze disciplinari, contrattuali, civili e, nei casi previsti, anche penali. Non si tratta di introdurre formule punitive o meramente intimidatorie, ma di rappresentare in modo chiaro il fatto che l’amministratore di sistema svolge una funzione ad alta responsabilità e che i privilegi di accesso attribuiti impongono un elevato standard di diligenza professionale, prudenza tecnica e lealtà organizzativa.
La nomina dovrebbe inoltre disciplinare la durata dell’incarico. È utile indicare da quando la designazione produce effetti, se ha durata a tempo determinato o indeterminato, e in quali casi può essere modificata, sospesa o revocata. Questo aspetto è cruciale perché i privilegi amministrativi non dovrebbero permanere oltre il tempo necessario. Se il soggetto cambia mansione, cessa il rapporto, viene trasferito ad altra funzione o non ha più necessità di accedere a determinati sistemi, la nomina deve cessare o essere aggiornata, e le relative autorizzazioni devono essere tempestivamente revocate o rimodulate. Una nomina ben redatta, quindi, non è statica ma si inserisce in un processo di revisione continua degli accessi privilegiati.
Nel caso in cui l’amministratore di sistema intervenga su sistemi che comportano trattamento di dati personali, la nomina deve essere coerente con il ruolo privacy effettivamente attribuito al soggetto. Se si tratta di personale interno che opera sotto l’autorità del titolare o del responsabile del trattamento, è necessario che risulti che il soggetto agisce in base a istruzioni documentate e nel perimetro autorizzato. Se invece l’attività è svolta da un fornitore esterno che tratta dati per conto dell’organizzazione, la nomina dell’amministratore di sistema deve coordinarsi con l’eventuale designazione del fornitore quale responsabile del trattamento e con le clausole contrattuali che regolano il trattamento stesso. In termini sostanziali, l’atto dovrebbe evitare incoerenze tra funzioni tecniche, ruoli privacy e responsabilità contrattuali, perché tali incoerenze possono incidere sulla validità dell’assetto organizzativo e sulla capacità dell’ente di dimostrare la conformità alle regole applicabili.
È consigliabile che la nomina faccia emergere anche il requisito di competenza e affidabilità del soggetto designato. Pur non essendo sempre necessario descrivere analiticamente il curriculum, è opportuno che l’organizzazione dia atto di aver valutato l’esperienza, la professionalità e l’idoneità del nominato rispetto alla delicatezza delle mansioni assegnate. Questo è particolarmente importante nei contesti regolati o ad alto rischio, perché la scelta dell’amministratore di sistema non può essere casuale o puramente formale. L’atto può dunque richiamare la formazione ricevuta, l’esperienza maturata, l’obbligo di aggiornamento professionale o la necessità di partecipare a percorsi formativi periodici in materia di sicurezza e protezione dei dati.
Sul piano documentale, la nomina deve essere formulata in modo da risultare conoscibile, accettata e opponibile. Per questo motivo deve essere redatta per iscritto, con data certa o comunque con data documentabile, sottoscritta dal soggetto che conferisce l’incarico e possibilmente anche dal soggetto che lo riceve, affinché risulti l’accettazione consapevole delle istruzioni, dei limiti e degli obblighi connessi. La sottoscrizione del nominato ha una forte utilità probatoria: non crea da sola i poteri tecnici, che dipendono dall’assetto organizzativo e dalle autorizzazioni implementate sui sistemi, ma prova che l’interessato è stato formalmente informato del contenuto dell’incarico e delle regole da osservare.
È inoltre importante che la nomina non resti isolata, ma sia coordinata con gli altri documenti organizzativi. La sua efficacia concreta dipende dal fatto che sia coerente con organigrammi, mansionari, policy di sicurezza, procedure di gestione degli accessi, registri interni, contratti con i fornitori, istruzioni privacy, regolamenti aziendali e sistemi di autorizzazione effettivamente configurati. Una nomina formalmente perfetta ma smentita dalla realtà operativa, per esempio perché assegna poteri più ristretti di quelli realmente attribuiti sui sistemi o viceversa attribuisce compiti che l’interessato non può materialmente svolgere, perde gran parte della sua utilità sul piano della conformità e dell’accertamento delle responsabilità.
Infine, una nomina ben costruita deve contenere un equilibrio tra precisione giuridica e aderenza tecnica. Se è troppo vaga, non delimita realmente il ruolo e non consente di verificare la correttezza delle operazioni; se è eccessivamente astratta o piena di formule standard senza adattamento all’organizzazione concreta, rischia di essere solo un adempimento apparente. Deve invece fotografare il vero perimetro delle attività amministrative, la reale architettura delle autorizzazioni, i sistemi sui quali l’amministratore può intervenire, le cautele con cui deve farlo e il quadro di responsabilità entro il quale il ruolo si colloca. In sostanza, le informazioni che una nomina di amministratore di sistema deve contenere sono tutte quelle necessarie a trasformare un potere tecnico molto penetrante in un incarico formalmente definito, materialmente limitato, controllabile e conforme alle regole di sicurezza, riservatezza e protezione dei dati.
Fac simile nomina amministratore di sistema
NOMINA AD AMMINISTRATORE DI SISTEMA
(ai sensi della normativa vigente in materia di protezione dei dati personali)
La società ____, con sede legale in ____, C.F./P. IVA ____, in persona del legale rappresentante pro tempore ____, in qualità di Titolare del trattamento dei dati personali,
PREMESSO CHE
- il Titolare utilizza sistemi informatici, reti, apparati, applicativi, banche dati e strumenti elettronici per lo svolgimento della propria attività;
- nell’ambito di tali attività si rende necessario affidare specifici compiti di gestione, manutenzione e presidio dei sistemi informatici e delle infrastrutture tecnologiche;
- il soggetto di seguito indicato possiede esperienza, capacità e affidabilità idonee a garantire il pieno rispetto delle disposizioni vigenti in materia di sicurezza dei dati e dei trattamenti effettuati mediante strumenti elettronici;
NOMINA
il/la Sig./Sig.ra ____, nato/a a ____ il ____, C.F. ____, residente in ____, in qualità di ____,
ovvero
la società ____, con sede in ____, C.F./P. IVA ____, in persona del legale rappresentante ____,
quale
AMMINISTRATORE DI SISTEMA
con riferimento ai sistemi, alle infrastrutture, agli apparati, ai software, agli archivi elettronici e alle risorse tecnologiche in uso presso il Titolare, nei limiti delle funzioni assegnate e secondo quanto previsto dal presente atto.
1. OGGETTO DELL’INCARICO
L’Amministratore di Sistema è autorizzato a svolgere le attività tecniche di gestione e amministrazione dei sistemi informatici del Titolare, ivi comprese, a titolo esemplificativo e non esaustivo:
- gestione, configurazione, manutenzione e aggiornamento di server, client, dispositivi di rete, firewall, switch, router, sistemi di sicurezza e apparati connessi;
- amministrazione di sistemi operativi, applicativi, utenze, credenziali di autenticazione, profili di autorizzazione e privilegi di accesso;
- monitoraggio del corretto funzionamento dei sistemi, delle reti, dei servizi e delle misure di sicurezza;
- gestione delle copie di sicurezza, dei processi di backup e ripristino, della continuità operativa e del disaster recovery, ove previsti;
- installazione, configurazione e aggiornamento di software, strumenti di protezione, antivirus, antimalware e sistemi di logging;
- interventi di assistenza tecnica, manutenzione ordinaria e straordinaria, diagnosi e risoluzione di anomalie, malfunzionamenti o incidenti informatici;
- verifica dell’integrità, disponibilità, riservatezza e sicurezza dei sistemi e dei dati trattati;
- supporto al Titolare nell’adozione e nell’attuazione delle misure tecniche e organizzative necessarie per la protezione dei dati personali.
2. AMBITO DI OPERATIVITÀ
L’incarico riguarda i seguenti sistemi, ambienti e risorse:
- sedi interessate: ____;
- server e infrastrutture: ____;
- postazioni di lavoro e dispositivi: ____;
- servizi cloud e piattaforme: ____;
- applicativi e gestionali: ____;
- reti e apparati di sicurezza: ____;
- banche dati e archivi elettronici: ____.
L’Amministratore di Sistema opererà esclusivamente entro i limiti strettamente necessari allo svolgimento dei compiti assegnati e nel rispetto delle istruzioni impartite dal Titolare.
3. COMPITI E RESPONSABILITÀ
L’Amministratore di Sistema è tenuto a:
- operare secondo principi di liceità, correttezza, riservatezza, integrità e disponibilità dei dati;
- attenersi alle istruzioni scritte e verbali impartite dal Titolare e alle procedure interne adottate;
- utilizzare credenziali personali, ove previste, non cedibili a terzi e adeguatamente protette;
- accedere ai sistemi e ai dati solo nei casi strettamente necessari per finalità tecniche connesse all’incarico;
- non effettuare trattamenti di dati personali per finalità diverse da quelle connesse alle attività affidate;
- adottare ogni misura utile a prevenire accessi non autorizzati, perdita, distruzione, diffusione, alterazione o uso illecito dei dati;
- garantire la corretta gestione delle autorizzazioni di accesso ai sistemi, secondo il principio di necessità e di minimizzazione;
- verificare periodicamente lo stato di aggiornamento dei sistemi e l’efficacia delle misure di sicurezza adottate;
- segnalare senza ritardo al Titolare qualsiasi evento anomalo, violazione di sicurezza, perdita di dati, accesso abusivo, malfunzionamento o rischio rilevante per i diritti e le libertà degli interessati;
- collaborare con il Titolare nelle attività di verifica, audit, controllo e aggiornamento delle misure di sicurezza;
- mantenere traccia, ove previsto, degli interventi effettuati, delle operazioni amministrative svolte e degli accessi ai sistemi;
- rispettare gli obblighi di segretezza e riservatezza anche successivamente alla cessazione dell’incarico.
4. ACCESSI E TRACCIAMENTO
L’attività dell’Amministratore di Sistema dovrà essere, ove tecnicamente possibile e in relazione alla tipologia di sistemi gestiti, soggetta a registrazione e tracciamento mediante log idonei a rilevare:
- identificativo dell’utente incaricato;
- data e ora dell’accesso;
- sistema o risorsa interessata;
- tipologia di intervento eseguito;
- eventuali anomalie o eventi rilevanti.
I log dovranno essere conservati per il periodo previsto dalle disposizioni normative, dalle policy interne e dalle esigenze di sicurezza del Titolare, assicurandone integrità, disponibilità e verificabilità.
5. OBBLIGO DI RISERVATEZZA
L’Amministratore di Sistema si impegna a mantenere la massima riservatezza su tutte le informazioni, i dati personali, i dati particolari, i dati giudiziari, le credenziali, le configurazioni di sistema, le misure di sicurezza, i documenti e le notizie di cui venga a conoscenza nello svolgimento dell’incarico.
È fatto espresso divieto di:
- comunicare o diffondere a terzi informazioni o dati appresi nello svolgimento dell’incarico;
- copiare, estrarre, trasferire o utilizzare dati e informazioni per finalità personali o comunque estranee all’incarico;
- trattare dati in assenza di autorizzazione o in violazione delle istruzioni ricevute.
Tale obbligo permane anche dopo la cessazione, a qualunque titolo, del rapporto con il Titolare.
6. MISURE DI SICUREZZA
L’Amministratore di Sistema dovrà:
- custodire con diligenza le credenziali di autenticazione e gli strumenti di accesso assegnati;
- adottare password robuste e procedure di autenticazione conformi alle policy del Titolare;
- evitare l’utilizzo promiscuo o condiviso delle credenziali, salvo casi eccezionali debitamente autorizzati e regolamentati;
- assicurare l’aggiornamento dei sistemi di protezione e delle patch di sicurezza;
- verificare la corretta esecuzione dei backup e la possibilità di ripristino dei dati;
- proteggere i sistemi da malware, vulnerabilità note, accessi abusivi e utilizzi impropri;
- limitare i privilegi amministrativi ai soli casi necessari;
- effettuare gli interventi tecnici con modalità tali da ridurre al minimo i rischi per i dati personali;
- informare il Titolare in merito a eventuali criticità tecniche e proporre le misure correttive ritenute opportune.
7. RAPPORTI CON TERZI E FORNITORI
L’Amministratore di Sistema non potrà avvalersi di terzi, subfornitori, collaboratori o ulteriori tecnici per l’esecuzione delle attività affidate senza preventiva autorizzazione scritta del Titolare.
In caso di autorizzazione, l’Amministratore di Sistema dovrà assicurare che tali soggetti siano vincolati da obblighi di riservatezza e da istruzioni adeguate, nonché, ove necessario, formalmente designati secondo la normativa applicabile.
8. VERIFICHE E CONTROLLO
Il Titolare si riserva di verificare in qualsiasi momento il corretto adempimento dell’incarico, il rispetto delle istruzioni impartite e l’adeguatezza delle misure di sicurezza adottate.
L’Amministratore di Sistema si impegna a collaborare pienamente con il Titolare, mettendo a disposizione informazioni, documentazione, registrazioni, log, evidenze tecniche e ogni altro elemento utile alle attività di controllo.
9. DURATA DELL’INCARICO
La presente nomina decorre dal ____ e avrà efficacia fino al ____, salvo revoca anticipata, sostituzione, cessazione del rapporto o diversa comunicazione scritta del Titolare.
Alla cessazione dell’incarico, per qualsiasi causa:
- cesserà immediatamente ogni autorizzazione di accesso ai sistemi del Titolare;
- l’Amministratore di Sistema dovrà restituire credenziali, dispositivi, chiavi, badge, token, supporti e documentazione in suo possesso;
- dovrà essere garantita la disattivazione o riconsegna di eventuali account amministrativi, accessi remoti e utenze privilegiate;
- resteranno fermi gli obblighi di riservatezza e di protezione delle informazioni acquisite.
10. TRATTAMENTO DEI DATI PERSONALI
L’Amministratore di Sistema prende atto che i dati personali eventualmente trattati nello svolgimento dell’incarico dovranno essere gestiti esclusivamente per finalità connesse all’esecuzione delle attività affidate, nel rispetto della normativa vigente e delle istruzioni del Titolare.
Qualora l’Amministratore di Sistema operi quale soggetto esterno e il ruolo concretamente svolto comporti trattamento di dati personali per conto del Titolare, le parti provvederanno, ove necessario, alla separata formalizzazione della nomina a Responsabile del trattamento o di altro atto richiesto dalla normativa applicabile.
11. DISPOSIZIONI FINALI
La presente nomina costituisce formale attribuzione dell’incarico di Amministratore di Sistema e deve essere conservata agli atti del Titolare.
Per quanto non espressamente previsto nel presente atto, si rinvia alla normativa vigente in materia di protezione dei dati personali, sicurezza informatica, alle policy interne adottate dal Titolare e alle ulteriori istruzioni che saranno impartite nel corso del rapporto.
Letto, confermato e sottoscritto.
Luogo ____
Data ____
Il Titolare del trattamento
____Per accettazione
L’Amministratore di Sistema
____ALLEGATO A
Sistemi e risorse affidati in gestione
- Sistema / servizio: ____
Descrizione: ____
Ambito di intervento: ____ - Sistema / servizio: ____
Descrizione: ____
Ambito di intervento: ____ - Sistema / servizio: ____
Descrizione: ____
Ambito di intervento: ____ALLEGATO B
Istruzioni operative specifiche
- Tipologia di accesso consentita: ____
- Fasce orarie di intervento: ____
- Modalità di accesso remoto: ____
- Procedure di autorizzazione preventiva: ____
- Misure di logging richieste: ____
- Procedure di backup e ripristino: ____
- Contatti per segnalazioni urgenti: ____
- Ulteriori istruzioni: ____