Il contratto di processor è basato sul presupposto espresso che il titolare affida a un soggetto determinate operazioni di trattamento sui dati personali.
L’installazione o l’aggiornamento di un sistema operativo e in generale le operazioni di manutenzione hardware e software possono avere una rilevanza in termini di misure di sicurezza (una configutrazione sbagliata puo’, indirettamente, danneggiare i dati o esporli a diffuzione non autorizzata) ma non sono, in senso stretto, “operazioni di trattamento”.
Anche la progettazione di un database non richiede l’adempimento in questione (ma certamente l’osservanza delle misure di sicurezza, del data protection by design e by default), ma la sua amministrazione si, nella misura in cui l’oggetto dell’amministrazione sia il trattamento diretto dei dati.
Vivecersa, i servizi di deduplicazione di record, quelli di normalizzazione e via discorrendo richiedono l’individuazione del processor.
In sintesi: per i servizi di manutenzione e assistenza che non hanno per oggetto diretto il trattamento di dati personali, il processor non serve, ma va in ogni caso contrattualizzato l’obbligo di adozione delle misure di sicurezza.
Possibly Related Posts:
- La personalità dell’IA fra diritto e morale. Una conversazione con James Boyle
- L’esplorazione di Marte tra scienza e mito
- Droni cinesi nel mirino. Come si sono comportate le corti americane nel caso Dji
- Il ruolo dell’internet governance: chi decide cosa
- Come funziona la Big Internet, fra architettura, protocolli e governance