Glossario

 

 

Glossario

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

Esempi: nome e cognome, numero di telefono, codice fiscale, targa automobilistica, immagine, numero carta di identità, estremi identificativi di carte di debito o di credito

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione

Esempi: raccolta di dati anagrafici su moduli cartacei o on-line, immagini scattate in formato video o fotografico o riprese con sistemi di videosorveglianza, inserimento dati in archivio digitale, organizzazione di contratti o modulistica con dati personali in dossier (cartaceo), incrocio di archivi per la creazione di profili o per successivi fini statistici, elaborazione elettronica di più informazioni presenti in archivio, distruzione di documenti o eliminazione di file

«limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro

Esempi: l’interessato ha manifestato la volontà che i suoi dati personali siano trattati soltanto per fini amministrativi e non per altre finalità (quali, esemplificativamente: raffronto con altre informazioni, attività di marketing, diffusione su Internet)

«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica

Esempi: incrocio di informazioni presenti su archivi, anche diversi (propri o di terzi), ma comunque soltanto in formato elettronico, per creare profili comportamentali e preferenze o interessi e analizzarli per trattamenti volti a classificare la persona in un determinato gruppo / cluster omogeneo, in funzione delle sue caratteristiche e, se del caso, mirare azioni o iniziative in linea con tali caratterizzazioni (modalità usata, in particolare, per attività di marketing diretto mirate a contatti promozionali in base alle preferenze di adesione a progetti, acquisti, donazioni o altre azioni che la persona ha compiuto o si ritiene possa compiere desumendolo dalle altre notizie che si hanno a disposizione e che la riguardano). La profilazione può avvenire, per esempio, anche attraverso i cookie di profilazione presenti su siti Internet (siano essi di prima parte o di terza parte)

«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile

Esempi: i dati atti a identificare univocamente la persona sono conservati in un archivio separato dai restanti dati (informazioni aggiuntive, quali estremi di carta di identità o estremi di carte di debito o di credito mantenute separate da nome e cognome della persona e con modalità protette e tali da non consentire l’immediato abbinamento con i dati identificativi)

«archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico

Esempi: banca dati di clienti / donatori e fornitori, archivio dei contratti di lavoro, registro (elettronico o cartaceo) di rilevazione presenze del personale, archivio fatture. Non ha rilevanza se su supporto cartaceo o digitale

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali

Esempi: è il soggetto che decide quali dati trattare, per quali finalità, con quali modalità (cartacee o elettroniche, con o senza raffronti), quali procedure organizzative, logistiche e tecniche seguire per lo svolgimento dei trattamenti e quali mezzi implementare per garantire la riservatezza, l’integrità, la disponibilità e la sicurezza delle informazioni. Se si tratta di un organismo complesso, quale una società, un’organizzazione no-profit o un ente pubblico, il titolare del trattamento non è il legale rappresentante o procuratore o altri dotati di poteri di rappresentanza ma l’organismo nel suo complesso (es.: ragione sociale / denominazione sociale con indirizzo e estremi di identificazione, quali codice fiscale e / o partita IVA)

«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

Esempi: il responsabile è un soggetto esterno (società, organizzazione, ente pubblico o persona fisica) che tratta dati personali su istruzioni scritte del titolare. Può trattarsi di, esemplificativamente: consulente del lavoro, confezionatore, stampatore di documenti con dati personali, data centre per servizio di hosting, società che conserva archivi / documenti cartacei, centro elaborazione dati conto terzi, call centre

«comunicazione»: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate al trattamento dei dati personali, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione

Esempi: mettere a disposizione dati su formato digitale o cartaceo a soggetti pubblici o privati che tratteranno tali dati in qualità di autonomi titolari del trattamento, cioè per propri scopi, secondo modalità e mezzi da loro predeterminati (es.: società o organizzazioni terze per loro scopi di marketing, enti pubblici per loro funzioni istituzionali e per obblighi di legge)

«destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi

Esempi: autonomi titolari del trattamento, quali enti pubblici (es.: INPS, INAIL, Agenzia delle Entrate, società terze per scopi di marketing e comunicazione) oppure responsabile del trattamento (es.: consulente del lavoro)

«terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile

Esempi: altro titolare del trattamento che agisce in maniera autonoma (si veda quanto esemplificato nel termine «comunicazione» e «destinatario»)

«diffusione»: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione

Esempi: differentemente dalla comunicazione, i dati sono resi disponibili a terzi che non sono identificabili all’atto della messa a disposizione o consultazione dei dati personali. La loro identità è indefinita: può trattarsi della diffusione di immagini su Internet o su brochure illustrative, TV e media, carta stampata e, pertanto, non è noto preventivamente chi prenderà conoscenza dei dati personali (verosimilmente, il pubblico in generale dei canali televisivi, gli utenti Internet che accedono al sito o a una pagina social)

«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento

Esempi: spunta di una casella on-line per manifestare la propria volontà in positivo a un determinato trattamento, firma di un documento. Il consenso deve essere in forma espressa, quindi il silenzio (assenza di azione) equivale a dissenso. Non è l’unico meccanismo che legittima il trattamento; esistono eccezioni che permettono di trattare lecitamente i dati personali senza il consenso dell’interessato

«violazione dei dati personali» anche detto «data breach»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati

Esempi: azione dolosa o colposa che determina un danno nei confronti dell’interessato e della riservatezza della sua sfera privata, poiché i suoi dati sono stati persi, distrutti o modificati o consultati o trattati illecitamente. Può accadere quando vi sono attacchi informatici e terzi si introducono nella rete informatica accedendo illecitamente agli archivi. La violazione di dati personali per dolo è normalmente imputabile a sistemi di sicurezza poco robusti o, comunque, inadeguati alla prevenzione di tali attacchi e non sono state attivate tutte quelle procedure che, alla luce della tecnologia disponibile e delle risorse di cui si ha conoscenza, si potevano preventivamente adottare per inibire l’accadimento doloso

«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione

Esempi: DNA

«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici

Esempi: impronta digitale, configurazione dell’iride (spesso anche utilizzati per riconoscimento e / o autenticazione informatica, in alternativa alle credenziali di autenticazione usualmente adottate quali username e password)

«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute

Esempi: patologia, dati anamnestici, diagnosi, handicap fisico o psichico, dati rilevabili da schede e cartelle cliniche o certificati medici, prescrizioni mediche, assenza per malattia, gravidanza e puerperio. Non necessariamente deve trattarsi di patologia, né deve essere permanente

«categorie particolari di dati personali»: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Esempi: tesseramento a un partito politico, iscrizione a un sindacato, appartenenza a un circolo cattolico di preghiera. Potrebbero non essere direttamente espressi ma desunti da azioni o dichiarazioni della persona

«dati personali relativi a condanne penali e reati»

Esempi: condizione di indagato o imputato, misure di sicurezza connesse alla condanna, libertà vigilata, arresti domiciliari, sentenze pendenti o definitive, casellario giudiziale

«rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del GDPR

Esempi: quando il titolare del trattamento ha sede in un Paese extra-UE ma esegue trattamenti in territorio UE deve designare formalmente un suo rappresentante che, in sua vece, svolga compiti e obblighi relativi al GDPR per suo conto. Pertanto, può essere una società o un’organizzazione o una persona fisica che ha propria sede all’interno dell’Unione Europea

«stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’UE, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’UE e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato queste decisioni è considerato essere lo stabilimento principale

Esempi: un titolare può avere più sedi dislocate nel territorio dell’UE. Lo stabilimento principale è quello dove vi è l’amministrazione, ma se le finalità e i mezzi del trattamento sono definiti da una sede diversa, allora è la sede che determina finalità e mezzi del trattamento a essere considerata stabilimento principale

oppure

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’UE o, se il responsabile del trattamento non ha un’amministrazione centrale nell’UE, lo stabilimento del responsabile del trattamento nell’UE in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile del trattamento è soggetto a obblighi specifici ai sensi del GDPR

Esempi: un responsabile può avere più sedi dislocate nel territorio dell’UE. Lo stabilimento principale è quello dove vi è l’amministrazione nell’UE, ma se non ha sede nell’UE o se il trattamento è principalmente condotto in una sede UE diversa da quella dove vi è l’amministrazione, allora lo stabilimento principale è identificato nella sede dove queste principali attività di trattamento sono condotte

«impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica

Esempi: società per azioni, società a responsabilità limitata o altre entità giuridiche che perseguono scopi di lucro, ma anche associazioni no-profit che, nel loro Statuto, hanno anche oggetto di svolgere attività economiche in modo regolare e non sporadicamente

«gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate

Esempi: società di controllo ai sensi dell’art. 2359 cod. civ.

«norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più Paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune

Esempi: sono norme definite da un gruppo imprenditoriale o di imprese che hanno un’attività comune e che determinano una policy compliant al GDPR nel trasferire in Paesi terzi (extra-UE) e che devono essere preliminarmente approvate da organismi europei che disciplinano la protezione dei dati personali e si applicano quando i dati sono trasferiti in Paesi extra-UE: è tipico di società / organizzazioni internazionali che hanno anche sedi dislocate al di fuori dell’Unione Europea e che trasferiscono dati personali dall’Unione europea verso detti Paesi terzi. Per esempio: casa madre sita in territorio italiano che ha una sede decentrata in Brasile e trasferisce i dati dei propri dipendenti a detta sede secondaria ove è, per esempio, gestita l’attività amministrativa e contabile nell’ambito dei rapporti di lavoro di tutto il gruppo imprenditoriale

«autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro

Esempi: per l’Italia è il Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it, che controlla, richiede informazioni ed esibizione di documenti o effettua ispezioni, emana provvedimenti prescrittivi in aggiunta o a integrazione della normativa vigente, commina sanzioni amministrative, avendo poteri e doveri di supervisionare la corretta applicazione del GDPR e può ricevere reclami dagli interessati

«trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro

Esempi: lo stesso titolare del trattamento (stessa società o organizzazione) che svolge il trattamento in più sedi dislocate all’interno del territorio dell’Unione europea. Per esempio, opera in Italia, Francia e Belgio con più sedi in ciascuno di questi Paesi

oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro

Esempi: sebbene la sede del titolare o del responsabile (società o organizzazione) sia in un Paese dell’Unione europea, il trattamento dei dati è riferito a interessati (persone) che non sono in quel preciso Paese ma in un altro. Per esempio, quando il titolare del trattamento è in Italia ma tratta dati di clienti / donatori / dipendenti o altre persone che risiedono in Francia o Germania o altro Stato membro

«servizio della società dell’informazione»

Esempi: servizi di comunicazione interattiva, servizi erogati tramite la rete Internet

«comunicazione elettronica»: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un contraente o utente ricevente, identificato o identificabile

Esempi: servizio di posta elettronica, connessione alla rete Internet

«chiamata»: la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale

Esempi: conversazione telefonica, con qualsiasi modalità effettuata (es.: videochiamata, da rete fissa e mobile, via Skype, WhatsApp)

«servizio di comunicazione elettronica»: i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva

Esempi: servizio di posta elettronica, connessione alla rete Internet, TV interattiva

«contraente»: qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate

Esempi: persona o soggetto (diverso da persona fisica) che è intestatario di un’utenza telefonica (fissa o mobile), sia in abbonamento sia con ricarica telefonica (schede prepagate)

«utente»: qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata

Esempi: è esclusivamente una persona fisica (e non entità giuridica) che utilizza il telefono, la posta elettronica, la connessione Internet, per propri scopi personali oppure professionali, e che può essere lo stesso contraente oppure un fruitore del servizio con carta prepagata. Potrebbe anche essere il caso di una persona che non è l’intestatario della linea telefonica con cui esegue e riceve chiamate e si limita a fruire / usare il servizio di telefonia. SIM intestata a una persona, ma la persona che usa il telefono su cui la SIM è inserita è diversa (es.: intestatario è il figlio, ma l’utente è la madre)

«dati relativi al traffico»: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione

Esempi: tempi di conversazione o connessione, numeri chiamati e chiamanti

«dati relativi all’ubicazione»: ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico

Esempi: dati rilevati da sistemi di geolocalizzazione satellitare («GPS»)

«posta elettronica»: messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell’apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza

Esempi: servizio e-mail tramite il quale si inviano e ricevono messaggi testuali, in formato video o fotografico

«diritti degli interessati»: sono i diritti di accesso, rettifica, modifica, cancellazione dei dati, limitazione del trattamento, diritto alla portabilità, diritto di opposizione anche per fini di marketing e / o di profilazione. Questi diritti permettono agli interessati di controllare il trattamento svolto sui loro dati personali. 

 

Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.

Lascia un commento

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635