Con l’entrata in vigore del Regolamento Europeo GDPR, le aziende e le PA devono assegnare l’incarico di Responsabile del trattamento dei dati personali, di cui sono Titolari, al fornitore dei servizi di assistenza IT per le attività da questi realizzate. In molti contesti é prevista anche una nomina specifica per l’incarico di Responsabile del Sistema informativo e soprattutto Amministratore di Sistema per le infrastruttura IT , figura prevista già dalla normativa 196/03 che indica il ruolo di figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione dati o di sue componenti.
Relativamente alle specifiche attività prestate ed in relazione con le disposizioni normative previste dal GDPR, Computer Care potrà essere nominata, senza specifici costi correlati, Responsabile dei trattamenti che effettua, nell’espletamento del proprio servizio, sui dati personali di cui il cliente è Titolare.
Inoltre, relativamente agli incarichi di Responsabile della Sicurezza informatica, Responsabile del Sistema informativo e Amministratore di Sistema ed alle attività ed incombenze ad esse correlati viene proposto un servizio aggiuntivo con un percorso di presa in carico strutturato in tre fasi:
L’attività di Start UP:
• consulenza per valutazione dei rischi correlati alla infrastruttura IT;
• realizzazione di un piano di Disaster recovery;
• analisi delle misure tecniche di sicurezza informatica in essere, in corso di implementazione ed in ipotesi di eventuale adeguamento e successiva redazione della procedura per il test periodico della loro funzionalità ed efficacia;
• presa in carico del sistema di autenticazione e autorizzazione con definizione dei profili di accesso ai sistemi informativi ed alle risorse di rete aziendali e creazione del registro delle password.
Una volta completate la fase di Start Up del sistema di Sicurezza informatica, vengono pianificate e realizzate, le seguenti attività continuative:
• realizzazione dei back up;
• test periodici di funzionalità delle misure di sicurezza attivate tra le quali, ad esempio la verifica delle scadenze delle licenze antivirus e firewall, il test di recovery dei back up;
• eventuali partecipazioni all’audit annuale del DPO;
• redazione di una relazione scritta annuale sullo stato della sicurezza informatica.
Saranno invece gestite su indicazione e richiesta della Direzione aziendale e/o del Titolare del Trattamento o del DPO, nella modalità a chiamata le seguenti attività :
• attivazione e disattivazione delle credenziali di accesso per il turn over del personale o altre esigenze e conseguente aggiornamento del registro delle password;
• cancellazione dei supporti di memoria fisici dismessi e relativo smaltimento;
• supporto alla eventuale realizzazione della DPIA;
• supervisione di eventuali integrazioni di prodotti hw e sw di terzi nell’architettura informatica in essere con l’obiettivo di supportare la società nell’ottemperanza dei requisiti previsti dal GDPR;
• informazione e formazione del personale della società sul rispetto delle disposizioni della Policy interna;
• adozione e la gestione di un sistema idoneo alla registrazione degli accessi logici ai sistemi informativi della società , in relazione con il suo business e la tipologie dei dati e rischiosità dei trattamenti.
Il personale di Computer Care che erogherà il servizio, potrà essere nominato Amministratore di Sistema ai sensi della normativa vigente sulla Privacy (Rif: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009).