Il contratto di processor è basato sul presupposto espresso che il titolare affida a un soggetto determinate operazioni di trattamento sui dati personali.
L’installazione o l’aggiornamento di un sistema operativo e in generale le operazioni di manutenzione hardware e software possono avere una rilevanza in termini di misure di sicurezza (una configutrazione sbagliata puo’, indirettamente, danneggiare i dati o esporli a diffuzione non autorizzata) ma non sono, in senso stretto, “operazioni di trattamento”.
Anche la progettazione di un database non richiede l’adempimento in questione (ma certamente l’osservanza delle misure di sicurezza, del data protection by design e by default), ma la sua amministrazione si, nella misura in cui l’oggetto dell’amministrazione sia il trattamento diretto dei dati.
Vivecersa, i servizi di deduplicazione di record, quelli di normalizzazione e via discorrendo richiedono l’individuazione del processor.
In sintesi: per i servizi di manutenzione e assistenza che non hanno per oggetto diretto il trattamento di dati personali, il processor non serve, ma va in ogni caso contrattualizzato l’obbligo di adozione delle misure di sicurezza.
Possibly Related Posts:
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Il senso di Apple per la privacy
- Così Big Tech ha imparato a monetizzare la nostra fuga dalla realtà