La presente sezione analizza la lettera della legge con l’obiettivo di trovare un approccio strutturato e sistematico per discutere le misure che i titolari del trattamento sono tenuti ad attuare dall’Art. 25 GDPR. La sistematica e la struttura risultante sono poi utilizzate nella sezione 2.3.3.1 sulle misure che costituisce la guida più concreta per i professionisti.
Per favorire una chiara comprensione del testo, il seguente riquadro definisce due termini spesso usati.
| Definizione: attività di elaborazione
Il termine attività di trattamento è qui utilizzato nel senso dell’art. 30 GDPR record di attività di trattamento e 4(16)(b) GDPR. In entrambi i casi, un’attività di trattamento è l’unità di base autonoma dell’impresa di un titolare del trattamento che comporta il trattamento di dati personali. Un’attività di trattamento subisce un ciclo di vita che comprende la concezione, la progettazione, l’attuazione, il funzionamento e lo smantellamento. Definizione operazione di elaborazione Il termine operazione di trattamento si riferisce solo alla fase operativa di un’attività di trattamento in cui un sistema di trattamento viene utilizzato per trattare effettivamente i dati personali. Esso comporta l’esecuzione delle operazioni di trattamento come sono definite nell’art. 4(2) GDPR. Altri aspetti delle attività di trattamento, come la concezione e la progettazione, non eseguono tali operazioni di trattamento e non sono quindi considerati parte delle operazioni di trattamento. |