Dato personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Trattamento

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Interessato

La persona fisica a cui si riferiscono i dati personali oggetto di trattamento.

Consenso dell’interessato

Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei propri dati personali.

Titolare del trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici per la sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Designato

Persona fisica che opera sotto l’autorità diretta del Titolare del trattamento, a cui lo stesso Titolare attribuisca specifici compiti e funzioni connessi al trattamento di dati personali, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo.

Autorizzato

Persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del Titolare del trattamento (o di suo designato), nell’ambito delle strutture che al Titolare fanno capo. L’autorizzato non può trattare i dati personali cui ha accesso se non è istruito in tal senso dal Titolare del trattamento (o da suo designato), salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Responsabile del trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.

Contitolari del trattamento

Qualora più Titolari del trattamento determinino congiuntamente finalità e mezzi del trattamento, si realizza un’ipotesi di contitolarità che va disciplinata attraverso appositi accordi ai sensi di quanto disposto dall’articolo 26 del RGPD.

Destinatario

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

Terzo

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il Titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare o del responsabile.

Responsabile per la protezione dei dati personali o Data Protection Officer

È una figura cui sono demandati compiti di informazione, consulenza e controllo in merito agli obblighi derivanti dal Regolamento (UE) 2016/679. Tale figura è obbligatoria ogniqualvolta il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali).

Autorità Garante per la protezione dei dati personali

Autorità di controllo pubblica indipendente incaricata di controllare l’applicazione del Regolamento (UE) 2016/679, istituita da ogni Stato membro ai sensi dell’articolo 51 del Regolamento medesimo.

Violazione dei dati personali

La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Nel lessico di settore nota come data breach.

Sistema di gestione

Un insieme di procedure, sistemi informativi e sistemi informatici dedicati al governo di un processo tipicamente operativo, produttivo o amministrativo.

Misure di sicurezza

Misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Analisi del Rischio

Attività di analisi volta a delineare uno scenario che includa un evento e le sue conseguenze, stimate in termini di gravità e probabilità.

Gestione dei rischi

L’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi che contraddistinguono la sua operatività in un dato contesto.

Valutazione d’impatto sulla protezione dei dati

Processo inteso a descrivere il trattamento, valutarne necessità e proporzionalità, contribuendo così a gestire i rischi per i diritti e le libertà delle persone fisiche interessate derivanti dal trattamento di dati personali, avendo adeguatamente valutato detti rischi e determinato le misure tecniche e organizzative per affrontarli.

Acronimi

DPIA

Data Protection Impact Analysis

RGPD 

Regolamento Generale Protezione dati - regolamento (UE) 2016/679

GDPR

General Data Protection Regulation - regolamento (UE) 2016/679

RPD o DPO

Responsabile Protezione dati o Data Protection Officer