Torna all'indice

Glossario

Vademecum e campagne informative del Garante

Archivio

Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

Autenticazione

Per autenticazione s’intende il processo teso a verificare che una persona possiede una determinata identità e/o è autorizzata a svolgere determinate attività.

Oltre al classico nome utente e/o password, si stanno sviluppando nuove tecnologie di autenticazione: confronto con dati biometrici, tessere con microprocessore e PIN, firrme elettroniche sono uno strumento particolarmente idoneo a identi care e autenticare una persona nelle comunicazioni elettroniche.

Autorità di controllo

L’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51.

Anonimizzazione / pseudonimizzazione

I dati sono anonimizzati quando tutti gli elementi identificativi sono stati eliminati da un insieme di dati personali, mentre sono pseudonimizzati se gli elementi identificativi sono sostituiti da uno pseudonimo, che si ottiene, per esempio, crittografando gli elementi identificativi contenuti nei dati personali. La pseudonimizzazione si rivela particolarmente utile quando i titolari del trattamento devono accertarsi che si tratti dello stesso interessato, ma non necessitano, o non dovrebbero disporre, delle identità reali degli interessati.

A differenza dei dati anonimizzati, i dati pseudonimizzati sono dati personali.

Consenso

Per consenso s’intende “qualsiasi manifestazione di volontà libera, specifica e informata con la quale” l’interessato “accetta che i dati personali che la riguardano siano oggetto di un trattamento”.

È, in numerosi casi, la base giuridica per il trattamento legittimo di dati.

Deve essere libero specifico ed informato.

Dato personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dati biometrici

I dati biometrici, come le impronte digitali, le foto digitali o le scansioni dell’iride, acquisiscono un’importanza sempre maggiore nell’identificazione delle persone nell’era tecnologica.

Destinatario

Il termine “destinatario” è più ampio rispetto a quello di “terzi”. Ai sensi dell’articolo 2, lettera g), della direttiva sulla protezione dei dati, un destinatario è “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo”.

Il destinatario può essere una persona esterna al titolare o al responsabile del trattamento – in tal caso sarebbe un terzo – o qualcuno interno al titolare o al responsabile del trattamento, come per esempio un dipendente o un altro reparto all’interno di un’azienda o autorità.

La distinzione tra destinatari e terzi è importante solo in ragione delle condizioni previste per la legittima divulgazione dei dati. I “destinatari terzi” di dati, quindi, dovranno essere sempre legitti- mati da una base giuridica per poter ricevere lecitamente i dati personali.

Gruppo imprenditoriale

Un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate (C37, C48).

Norme vincolanti d’impresa

Le politiche in materia di protezione dei dati persona- li applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune (C37, C110).

Obiezione pertinente e motivata

Un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione.

Profilazione

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Privacy by design e by default

Il regolamento europeo invita a fare in modo che ogni sistema di trattamento dei dati (con particolare riferimento ai sistemi elettronici) sia progettato sin dall’origine per il rispetto della normativa (non solo, quindi, usato in quel modo) e preveda specifiche tecniche che, per quanto possibile, impediscano in radice ogni violazione con impostazioni predefinite.

Si tratta di introdurre meccanismi di protezione dei dati in fase di progettazione e in modalità predefinita.

L'obiettivo è avere la massima garanzia sulla protezione dei dati prevista nei prodotti e nei servizi già dalle prime fasi del loro sviluppo, integrando in parallelo delle impostazioni predefinite orientate alla tutela della privacy.

Responsabile del trattamento

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Stabilimento principale

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale.

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento.

Terzo

Per terzo s’intende la persona fisica o giuridica che non opera in base a istruzioni del titolare del trattamento (e non è l’interessato).

Un “terzo” è un soggetto giuridicamente diverso dal titolare del trattamento. Per la divulgazione dei dati a terzi sarà quindi sempre necessaria una base giuridica specifica. Ai sensi dell’articolo 2, lettera f), della direttiva sulla protezione dei dati, un terzo è “la persona sica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta”.

La distinzione tra destinatari e terzi è importante solo in ragione delle condizioni previste per la legittima divulgazione dei dati.

Titolare del trattamento

a persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Trattamento

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

limitazione di trattamento

Il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.

Violazione dei dati personali

La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Torna all'indice | Ultimo aggiornamento:31/05/2018