Glossario
Dato personale
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Trattamento
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Interessato
La persona fisica a cui si riferiscono i dati personali oggetto di trattamento.
Consenso dell’interessato
Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei propri dati personali.
Titolare del trattamento
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici per la sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Designato
Persona fisica che opera sotto l’autorità diretta del Titolare del trattamento, a cui lo stesso Titolare attribuisca specifici compiti e funzioni connessi al trattamento di dati personali, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo.
Autorizzato
Persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del Titolare del trattamento (o di suo designato), nell’ambito delle strutture che al Titolare fanno capo. L’autorizzato non può trattare i dati personali cui ha accesso se non è istruito in tal senso dal Titolare del trattamento (o da suo designato), salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Responsabile del trattamento
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.
Contitolari del trattamento
Qualora più Titolari del trattamento determinino congiuntamente finalità e mezzi del trattamento, si realizza un’ipotesi di contitolarità che va disciplinata attraverso appositi accordi ai sensi di quanto disposto dall’articolo 26 del RGPD.
Destinatario
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
Terzo
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il Titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare o del responsabile.
Responsabile per la protezione dei dati personali o Data Protection Officer
È una figura cui sono demandati compiti di informazione, consulenza e controllo in merito agli obblighi derivanti dal Regolamento (UE) 2016/679. Tale figura è obbligatoria ogniqualvolta il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali).
Autorità Garante per la protezione dei dati personali
Autorità di controllo pubblica indipendente incaricata di controllare l’applicazione del Regolamento (UE) 2016/679, istituita da ogni Stato membro ai sensi dell’articolo 51 del Regolamento medesimo.
Violazione dei dati personali
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Nel lessico di settore nota come data breach.
Sistema di gestione
Un insieme di procedure, sistemi informativi e sistemi informatici dedicati al governo di un processo tipicamente operativo, produttivo o amministrativo.
Misure di sicurezza
Misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Analisi del Rischio
Attività di analisi volta a delineare uno scenario che includa un evento e le sue conseguenze, stimate in termini di gravità e probabilità.
Gestione dei rischi
L’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi che contraddistinguono la sua operatività in un dato contesto.
Valutazione d’impatto sulla protezione dei dati
Processo inteso a descrivere il trattamento, valutarne necessità e proporzionalità, contribuendo così a gestire i rischi per i diritti e le libertà delle persone fisiche interessate derivanti dal trattamento di dati personali, avendo adeguatamente valutato detti rischi e determinato le misure tecniche e organizzative per affrontarli.
Acronimi
DPIA |
Data Protection Impact Analysis |
RGPD |
Regolamento Generale Protezione dati - regolamento (UE) 2016/679 |
GDPR |
General Data Protection Regulation - regolamento (UE) 2016/679 |
RPD o DPO |
Responsabile Protezione dati o Data Protection Officer |