Il contratto di processor è basato sul presupposto espresso che il titolare affida a un soggetto determinate operazioni di trattamento sui dati personali.
L’installazione o l’aggiornamento di un sistema operativo e in generale le operazioni di manutenzione hardware e software possono avere una rilevanza in termini di misure di sicurezza (una configutrazione sbagliata puo’, indirettamente, danneggiare i dati o esporli a diffuzione non autorizzata) ma non sono, in senso stretto, “operazioni di trattamento”.
Anche la progettazione di un database non richiede l’adempimento in questione (ma certamente l’osservanza delle misure di sicurezza, del data protection by design e by default), ma la sua amministrazione si, nella misura in cui l’oggetto dell’amministrazione sia il trattamento diretto dei dati.
Vivecersa, i servizi di deduplicazione di record, quelli di normalizzazione e via discorrendo richiedono l’individuazione del processor.
In sintesi: per i servizi di manutenzione e assistenza che non hanno per oggetto diretto il trattamento di dati personali, il processor non serve, ma va in ogni caso contrattualizzato l’obbligo di adozione delle misure di sicurezza.
Possibly Related Posts:
- Tassonomia del convegno, ovvero: della distillazione della conoscenza
- Facciamo ordine sulla “responsabilità” nella guida autonoma
- La memoria corta dei titolari del trattamento
- La deriva economicistica della protezione dei dati personali
- Il “contropatto” di Cavicchi. Sul Fatto Quotidiano ancora confusione fra Scienza e politica