NOMINA DEL RESPONSABILE DEL TRATTAMENTO ESTERNO PER LA GESTIONE DEI DATI E
SISTEMI INFORMATICI
La legge prevede la possibilità di individuare, nell’ambito dell’organizzazione aziendale, uno o più soggetti
anche esterni alla azienda cui la stessa azienda (titolare del trattamento) delega alcune funzioni inerenti
l’applicazione delle prescrizioni imposte dal codice della per garantire l’effettuazione di trattamenti leciti e
conformi ai principi della stessa legge. La scelta del responsabile esterno deve cadere su soggetti
professionalmente idonei. Fondamentale appare la posizione della società (o del professionista od esperto)
esterna cui viene affidata l’attività di gestione dei sistemi informatici aziendali. In tal caso, oltre a gestire
mediante clausole contrattuali i reciproci obblighi ed adempimenti in materia di attuazione del codice
privacy (vedi modello di clausole proposto per i fornitori di servizi informatici), appare opportuno valutare
ed eventualmente concordare con il fornitore esterno anche la sua nomina a responsabile esterno del
trattamento, con compiti specifici in materia di gestione degli amministratori di sistema esterni incaricati
dallo stesso fornitore ad accedere al sistema informatico dell’azienda.
Modello di nomina del responsabile esterno del trattamento informatico
Spett. Ditta/ sig. ..................
Ai sensi dell’art. 29 del decreto legislativo 196/2003 e delle intese intercorse, e nell’ambito dell’incarico
professionale (contratto d’opera, di servizi, appalto….) assegnato, vi comunichiamo la nomina a responsabile
del trattamento per la gestione dei dati e/o dei sistemi informatici, svolta nell’ambito dello stesso incarico
professionale (1) (individuare i trattamenti per i quali si nomina il responsabile: ad es. gestione in
outsourcing di specifici data base aziendali, manutenzione e sviluppo software, oppure assistenza e
manutenzione del sistema informatico, ecc …).
Nel vostro incarico dovrete svolgere le seguenti attività ... (individuare tra quelle elencate solo le attività
effettivamente demandate in relazione agli obblighi prescritti dal codice della privacy, compreso il profilo
della sicurezza, sempre in riferimento alla gestione esterna alla società cliente ed anche per gli
adempimenti relativi agli amministratori di sistema, sempre con riferimento alle attività assegnate con il
contratto al soggetto esterno):
a) gestire il sistema informatico, nel quale risiedono le banche dati personali, in osservanza al disciplinare
tecnico allegato al Codice della privacy (D.lgs. 30 giugno 2003 n. 196) e sue successive modifiche ed
aggiornamenti, attenendosi anche alle disposizioni del Titolare (e/o del Responsabile, qualora nominato) in
tema di sicurezza;
b) predisporre ed aggiornare un sistema di sicurezza informatico idoneo a rispettare le prescrizioni dell’art.
31 e seguenti del D.lgs. n. 196/2003, adeguandolo anche alle eventuali future norme in materia di sicurezza.
Più specificatamente, in base al sopra citato vigente disciplinare tecnico, fatte salve le successive integrazioni
dello stesso, il responsabile esterno dovrà:
• assegnare e gestire il sistema di autenticazione informatica secondo le modalità indicate nel Disciplinare
tecnico e quindi, fra le altre, generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni
informatiche utilizzate, le parole chiave ed i Codici identificativi personali da assegnare agli incaricati del
trattamento dati, svolgendo anche la funzione di custode delle copie delle credenziali 1;
• procedere, più in particolare, alla disattivazione dei Codici identificativi personali, in caso di perdita della
qualità che consentiva all’utente o incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo
dei Codici identificativi personali per oltre 6 (sei) mesi;
• adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire la
massima misura di sicurezza nel rispetto di quanto dettato dal Dlgs.196/2003 ed utilizzando le conoscenze
1
La figura del responsabile del trattamento preposto alla gestione informatica dei dati e dei sistemi aziendali
può anche essere eventualmente assommata a quella di custode delle copie delle credenziali (qualora tutta la gestione
sia effettivamente assegnata al soggetto esterno), riunendole in un unico responsabile in azienda. Oppure, qualora si
tengano distinte le due funzioni, sostituire con “…, coordinando anche l’attività del custode delle copie delle
credenziali”.
acquisite in base al progresso tecnico software e hardware, verificandone l’installazione, l’aggiornamento ed
il funzionamento degli stessi in conformità allo stesso Disciplinare tecnico;
• adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati
personali e provvedere al ricovero periodico degli stessi con copie di back-up, vigilando sulle procedure
attivate in struttura. Il responsabile esterno del trattamento dovrà anche assicurarsi della qualità delle copie di
back-up dei dati e della loro conservazione in luogo adatto e sicuro;
• indicare al personale competente o provvedere direttamente alla distruzione e smaltimento dei supporti
informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del
Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di
smaltimento strumenti elettronici;
• cooperare nella predisposizione del documento programmatico sulla sicurezza (qualora la Società fosse
tenuta alla sua redazione) per la parte concernente il sistema informatico ed il trattamento informatico dei
dati;
• predisporre ed implementare le eventuali ulteriori misure minime di sicurezza imposte dal Disciplinare
tecnico per il trattamento informatico dei dati sensibili (se esistenti: ...e giudiziari)2 e per la conseguente
tutela degli strumenti elettronici;
c) coordinare assieme al Titolare (e/o al Responsabile, qualora nominato) le attività operative degli incaricati
del trattamento nello svolgimento delle mansioni loro affidate per garantire un corretto, lecito e sicuro
trattamento dei dati personali nell’ambito del sistema informatico;
d) collaborare con il Titolare (e/o con il Responsabile, qualora nominato) per l’attuazione delle prescrizioni
impartite dal Garante;
e) comunicare prontamente al Titolare (e/o al Responsabile, qualora nominato) qualsiasi situazione di cui sia
venuta a conoscenza, nell’espletamento delle attività di esecuzione dell’incarico professioanle assegnato, che
possa compromettere il corretto trattamento informatico dei dati personali;
(parte concernente la gestione degli amministratori di sistema esterni incaricati di operare sul sistema della
società committente):
individuare, nell’ambito della propria organizzazione, le persone (dipendenti o collaboratori) munite dei
necessari requisiti di esperienza, capacità ed affidabilità, cui attribuire, rispetto al sistema informatico
aziendale del committente, le mansioni di amministratore di sistema definendone gli ambiti di operatività, in
conformità al provvedimento 27 novembre 2008 del Garante per la protezione dei dati personali;
conservare, aggiornare e mettere a disposizione del committente e/o degli organi di controllo, l’elenco con i
dati (nome, cognome, funzione) degli amministratori;
predisporre ed attuare un idoneo sistema di controllo periodico sull’operato dei propri amministratori,
fornendo, inoltre, un rapporto periodico ( ogni ………. massimo un anno ) al committente sulla correttezza
dell’attività di queste persone rispetto alle misure di sicurezza adottate ed alle mansioni attribuite;
adottare e gestire sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi
di elaborazione e agli archivi elettronici da parte di tutte le persone qualificate amministratori di sistema 3.
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di
verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni
devono comprendere i riferimenti allo “username” utilizzato, i riferimenti temporali e la descrizione
dell'evento (log in e log out) che le ha generate e devono essere conservate per un congruo periodo, non
inferiore a sei mesi;
Per l’espletamento dell’incarico, vengono assegnate al Responsabile esterno le credenziali di autenticazione
da assegnare ai singoli amministratori di sistema incaricati, credenziali che permettono l’accessibilità al
sistema per lo svolgimento delle stesse funzioni tecniche assegnate.
Con la sottoscrizione della presente, il Responsabile esterno accetta la nomina.
2
Qualora si trattino anche dati sensibili o giudiziari, è necessario riportare analiticamente le misure adottate
nell’ambito delle prescrizioni obbligatorie fissate dai punti da 20 a 24 del disciplinare tecnico.
3
Oltre che persone interne all’azienda, questa qualifica può essere attribuita anche a tecnici operanti presso
società esterne che forniscono servizi di gestione ed assistenza. In tal caso è opportuno integrare il contratto di appalto
con tale società, attribuendo con apposite clausole la nomina di responsabile sterno a questa società e gli oneri di
individuazione e controllo dei propri amministratori di sistema , nonché di tracciamento degli accessi operati.
Data .....................................................................
IL TITOLARE
(Il Legale Rappresentante della Società) ...........................................................................
Sottoscrive per accettazione e presa visione
Il responsabile esterno ...........................................................................