L’elaborazione stessa è avviata dal via libera del titolare del trattamento alle risorse per iniziare l’esecuzione delle istruzioni emesse. Da questo punto in poi, il trattamento dei dati personali effettivi inizia ad avere luogo. Vale a dire, viene eseguito dalle risorse designate che seguono le istruzioni del titolare del trattamento.
Il trattamento stesso termina quando non vengono più trattati dati personali. Considerando che secondo l’Art. 4(2) GDPR la memorizzazione dei dati personali costituisce un trattamento, la cessazione del trattamento stesso va oltre il semplice dire alle risorse di smettere di eseguire le istruzioni emesse. Piuttosto, richiede anche ulteriori istruzioni per accertare che i dati personali non vengano più memorizzati. Chiamiamo questo smantellamento delle operazioni di trattamento. Lo smantellamento comprende la cancellazione e la distruzione dei dati personali, entrambi i quali costituiscono ancora un trattamento ai sensi dell’art. 4(2). 4(2).
L’art. 25(1) richiede ai titolari del trattamento di attuare anche misure tecniche e organizzative appropriate durante il trattamento stesso. In analogia alla determinazione dei mezzi, la struttura trovata per il trattamento stesso sarà usata per guidare la discussione delle misure.