Questa pagina di approfondimento ha lo scopo di fornire ulteriori informazioni sulla terminologia privacy usata nelle varie informative privacy che sono qui collegate, non solo da noi ma anche da siti terzi o dalle altre informative privacy di organizzazioni correlate o presso le quali svolgiamo ruoli come RPD.
Nella normativa di protezione dei dati personali, ed in relazione ai seguenti termini, si intende, per:
dato personale: (art. 4 c1 GDPR) qualsiasi informazione che può essere usata per identificare – direttamente o indirettamente – una persona fisica; “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, una foto, un numero o codice personale (es. codice fiscale, numero cellulare), dati relativi all’ubicazione, un identificativo online (es. nickname, indirizzo e-mail) o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”;
trattamento: (art. 4 c2 GDPR), “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”;
titolare del trattamento (art. 4 c7 GDPR) o data controller: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”;
responsabile del trattamento (art. 4 c8 GDPR) o data processor: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”; sono quindi tutte le realtà che svolgono elaborazioni di dati esternalizzate (es. il centro paghe, lo studio commerciale, il cloud provider, ecc.);
consenso: (art. 4 c11 GDPR) è la chiara azione volontaria con la quale una persona accetta il trattamento dei propri dati personali; questa azione deve essere libera (si deve avere una reale scelta e il controllo sulle proprie decisioni), specifica (il consenso deve essere dato per scopi ben definiti, e la persona deve conoscere per quali scopi specifici saranno utilizzati i suoi dati), informata (prima di prestare il consenso, si devono ricevere tutte le informazioni necessarie riguardanti il trattamento dei dati), inequivocabile (consenso espresso attraverso un’azione chiara effettuata, mentre il silenzio, le caselle preselezionate o l’inazione non costituiscono consenso valido);
persone autorizzate o incaricati del trattamento, queste due definizioni equivalenti si riferiscono ai dipendenti delle organizzazioni (titolari e responsabili, come prima indicate) che hanno il compito di trattare materialmente i dati personali nello svolgimento delle mansioni conferite; essi sono previamente formati e seguono precise istruzioni per effettuare i vari trattamenti assegnati in maniera conforme alla normativa;
soggetto interessato: la persona che ha fornito i propri dati ad una organizzazione; in altre parole, se un’organizzazione detiene, riceve, produce o utilizza informazioni su una persona in un contesto che può identificarla direttamente o indirettamente (come dapprima meglio specificato alla voce dato personale), quella persona è considerata un “soggetto interessato” ai sensi del GDPR;
responsabile della protezione dei dati (RPD) o data protection officer (DPO): è il ruolo fondamentale, svolto da un professionista qualificato ed indipendente, nominato da un’organizzazione – in genere pubblica ma anche privata – con il compito di informare e consigliare l’organizzazione e i suoi dipendenti sulle obbligazioni che devono rispettare in materia di protezione dei dati, di monitorare la conformità dell’organizzazione con il GDPR, di fornire consulenza dove richiesto sul valutare l’impatto sulla protezione dei dati e di agire come punto di contatto tra l’organizzazione e le autorità di sorveglianza; il DPO costituisce anche un punto di riferimento per i soggetti interessati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti secondo la normativa di protezione dei dati personali.
Per le tutte altre definizioni, è sempre possibile consultare il Regolamento UE 679/2016, in sigla GDPR o RGPD.