Art. 2 Definizioni
Si intende per:
1. trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, la strutturazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
2. dato personale: qualunque informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
3. categorie particolari di dati: i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, dati biometrici atti a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale;
4. dati genetici: i dati personali relative alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
5. dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
6. dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
7. titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
8. responsabile esterno: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9. responsabile interno: i responsabili delle strutture nell’ambito delle quali i dati personali sono gestiti per le finalità istituzionali, individuati sulla base delle competenze attribuite alla funzione organizzativa o carica istituzionale che ricoprono.
10. responsabile per la transizione digitale (RTD): figura i cui compiti sono definiti dall’art. 17, comma 1-sexies del Codice dell’Amministrazione Digitale (emanato con D.lgs. n.82 del 7 marzo 2005, quale risultante dalle successive modifiche e integrazioni, inclusa l’ultima disposizione integrativa e correttiva di cui al decreto legislativo 13 dicembre 2017, n. 217);
11. responsabile della conservazione dei documenti informatici: figura i cui compiti sono definiti dall’art. 44 del Codice dell’Amministrazione Digitale (emanato con D.lgs. n.82 del 7 marzo 2005, quale risultante dalle successive modifiche e integrazioni, inclusa l’ultima disposizione integrativa e correttiva di cui al decreto legislativo 13 dicembre 2017, n. 217);
12. autorizzati al trattamento: le persone fisiche formalmente autorizzate e istruite a trattare i dati personali sotto l’autorità diretta del Titolare e/o del Responsabile interno e per le finalità stabilite dal Titolare (artt. 4, 29, 32, 39 del Regolamento UE);
13. interessato al trattamento: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali;
14. consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
15. terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile esterno del trattamento, il responsabile interno del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
16. destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazioni di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerati destinatari. Il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
17. profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
18. pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
19. limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
20. archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
21. responsabile per la protezione dei dati (RPD): figura specializzata nel supporto al Titolare del trattamento prevista come obbligatoria negli enti pubblici;
22. privacy manager: figura individuata all’interno dell’Amministrazione, ove necessario, con il compito di supportare il RPD nelle sue attività;
23. registro attività di trattamento: elenco, in forma cartacea o digitale, delle attività di trattamento dei dati personali effettuate sotto la propria responsabilità dal Titolare e dal Responsabile esterno secondo le rispettive competenze;
24. valutazione d’impatto sulla protezione dei dati: procedura atta a descrivere il trattamento, valutarne le necessità e proporzionalità e a garantire la gestione dei rischi dei diritti e delle libertà delle persone fisiche legate al trattamento dei loro dati personali.
25. violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
26. stabilimento principale: come definito dall’art. 4, par. 16 e dai Considerando 36 e 37 del Regolamento UE, il luogo dell’amministrazione centrale nell’ambito dell’Unione Europea di un titolare del trattamento avente stabilimenti in più di uno Stato membro, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
27. impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che la esercitino regolarmente;
28. gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
29. norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
30. autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del Regolamento UE; per l’Italia il Garante per la protezione dei dati personali;
31. trattamento transfrontaliero: trattamento di dati personali che ha luogo nell’ambito dell’attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro oppure il trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;
32. autorità di controllo interessata: un’autorità di controllo interessata al trattamento di dati personali in quanto: a) il titolare o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;
33. obiezione pertinente e motivata; un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
34. organizzazione internazionale: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.