Il contratto di processor è basato sul presupposto espresso che il titolare affida a un soggetto determinate operazioni di trattamento sui dati personali.
L’installazione o l’aggiornamento di un sistema operativo e in generale le operazioni di manutenzione hardware e software possono avere una rilevanza in termini di misure di sicurezza (una configutrazione sbagliata puo’, indirettamente, danneggiare i dati o esporli a diffuzione non autorizzata) ma non sono, in senso stretto, “operazioni di trattamento”.
Anche la progettazione di un database non richiede l’adempimento in questione (ma certamente l’osservanza delle misure di sicurezza, del data protection by design e by default), ma la sua amministrazione si, nella misura in cui l’oggetto dell’amministrazione sia il trattamento diretto dei dati.
Vivecersa, i servizi di deduplicazione di record, quelli di normalizzazione e via discorrendo richiedono l’individuazione del processor.
In sintesi: per i servizi di manutenzione e assistenza che non hanno per oggetto diretto il trattamento di dati personali, il processor non serve, ma va in ogni caso contrattualizzato l’obbligo di adozione delle misure di sicurezza.
Possibly Related Posts:
- Il mistero dell’Ipercubo ovvero la dittatura dell’ignoranza
- Non esiste la “privacy” al contrario
- Modificato il codice genetico di due embrioni per proteggerli dall’AIDS
- Cosa non è l’intelligenza artificiale
- Intelligence in Paesi stranieri, rischio accademico e responsabilità delle istituzioni