Glossario GDPR

Il Glossario è una raccolta di termini e definizioni di uno specifico ambito tecnico consultabili in ordine alfabetico.
Ecco il nostro glossario del GDPR, per familiarizzare con la riforma europea sulla privacy.

  • Accountability: “responsabilizzazione” dei Titolari e Responsabili del Trattamento, nell’adottare proattivamente comportamenti tali da dimostrare l’adozione di misure concrete per assicurare l’applicazione al GDPR.
  • Consenso dell’Interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
  • Contitolare del Trattamento: quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.
  • Compliance: conformità alle regole e disposizioni del GDPR e alle normative cogenti.
  • Data Breach: violazione di sicurezza nella quale i dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati, persi, distrutti o utilizzati da un soggetto non autorizzato.
    Solitamente avviene, in maniera volontaria o involontaria, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.
  • Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  • Dati Personali Giudiziari: dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
  • Dati Personali Particolari (Ex Sensibili): dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
  • DPIA – Data Privacy Impact Assestment: procedura di analisi per la valutazione dei rischi connessi al trattamento di dati, con lo scopo di identificare le misure idonee per affrontarli. Si tratta di un procedimento obbligatorio per tutti quei trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche.
  • Informativa: le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi. L’informativa deve precisare sinteticamente e in modo colloquiale quali sono gli scopi e le modalità del trattamento; se l’interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati non vengono forniti; a chi possono essere comunicati o diffusi i dati; quali sono i diritti riconosciuti all’interessato; chi sono il titolare e l’eventuale responsabile del trattamento e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).
  • Interessato: la persona fisica identificata o identificabile cui si riferiscono i dati personali.
  • Privacy by Design e by Default: configurare il trattamento dei dati personali prevedendo, fin dalle fasi di progettazione, misure indispensabili per soddisfare i requisiti del regolamento e tutelare i diritti degli interessati. Ciò richiede “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili”(Garante Privacy).
  • Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
  • Rappresentante del Trattamento: le organizzazioni che hanno sede fuori dall’UE devono designare, come disposto dall’articolo 27, una persona fisica o giuridica stabilita nell’Unione che li rappresenti per quanto riguarda gli obblighi relativi al regolamento UE 2016/679.
  • Registro dei Trattamenti: documento contenente tutte le informazioni relative alle operazioni di trattamento effettuate all’interno di un’organizzazione (azienda, ente o associazione). In esso vengono indicate le finalità del trattamento, ma anche informazioni quali le modalità di conservazione, le categorie degli Interessati e dei dati personali, gli eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate, etc.
    Esiste in duplice versione, una per il Titolare e una per il Responsabile del Trattamento.
  • Responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  • Responsabile per la Protezione dei Dati Personali – DPO (Data Protection Officer): il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

    La nomina del DPO all’interno di un’azienda è obbligatoria al verificarsi delle seguenti condizioni:
    – il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
    – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
    – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati particolari | sensibili) o di dati relativi a condanne penali e a reati.

  • Titolare del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
  • Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.