Il contratto di processor è basato sul presupposto espresso che il titolare affida a un soggetto determinate operazioni di trattamento sui dati personali.
L’installazione o l’aggiornamento di un sistema operativo e in generale le operazioni di manutenzione hardware e software possono avere una rilevanza in termini di misure di sicurezza (una configutrazione sbagliata puo’, indirettamente, danneggiare i dati o esporli a diffuzione non autorizzata) ma non sono, in senso stretto, “operazioni di trattamento”.
Anche la progettazione di un database non richiede l’adempimento in questione (ma certamente l’osservanza delle misure di sicurezza, del data protection by design e by default), ma la sua amministrazione si, nella misura in cui l’oggetto dell’amministrazione sia il trattamento diretto dei dati.
Vivecersa, i servizi di deduplicazione di record, quelli di normalizzazione e via discorrendo richiedono l’individuazione del processor.
In sintesi: per i servizi di manutenzione e assistenza che non hanno per oggetto diretto il trattamento di dati personali, il processor non serve, ma va in ogni caso contrattualizzato l’obbligo di adozione delle misure di sicurezza.
Possibly Related Posts:
- Protecting Personal Information: the Table of Contents
- La prefazione di Spaghetti Hacker
- Prevenzione e repressione dei reati informatici contro la UE: il problema è chiaro, la soluzione un po’ meno
- Tassonomia dell’hypocritical correct
- Apple, il riconoscimento facciale e il diritto di difesa (extra: qualche spunto sul GDPR)