Articolo 4

Definizioni

Ai fini del presente regolamento s’intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o

identificabile («interessato»); si considera identificabile la persona fisica che può essere

identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il

nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o

più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica,

culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di

processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la

registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica,

l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi

altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione

o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di

limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente

nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona

fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la

situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il

comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non

possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a

condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure

tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona

fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati,

indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo

funzionale o geografico;

7) «Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro

organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di

dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto

dell’Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua

designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8) «Responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o

altro organismo che tratta dati personali per conto del Titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo

che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità

pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica

indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate

destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme

applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non

sia l’interessato, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate

al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e

inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante

dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto

di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in

modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai

dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di

una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta

persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona

fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle

caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o

confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona

fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un Titolare del trattamento con stabilimenti in più di uno Stato membro, il

luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi

del trattamento di dati personali siano adottate in un altro stabilimento del Titolare del trattamento

nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni,

nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento

principale;

b) con riferimento a un Responsabile del trattamento con stabilimenti in più di uno Stato membro,

il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del

trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del

trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle

attività di uno stabilimento del Responsabile del trattamento nella misura in cui tale responsabile è

soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare

del trattamento o dal Responsabile del trattamento per iscritto ai sensi dell’articolo 27, li

rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento; (C80)

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che

eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano

regolarmente un’attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da

questa controllate;

20) «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate

da un Titolare del trattamento o Responsabile del trattamento stabilito nel territorio di uno Stato

membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del

trattamento o Responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo

imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

21) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi

dell’articolo 51;

22) «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati

personali in quanto:

a) il Titolare del trattamento o il Responsabile del trattamento è stabilito sul territorio dello Stato

membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono

probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno

Stato membro di un Titolare del trattamento o Responsabile del trattamento nell’Unione ove il

Titolare del trattamento o il Responsabile del trattamento siano stabiliti in più di uno Stato membro;

oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di

un Titolare del trattamento o Responsabile del trattamento nell’Unione, ma che incide o

probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o

meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare

del trattamento o Responsabile del trattamento sia conforme al presente regolamento, la quale

obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai

diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati

personali all’interno dell’Unione;

25) «servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera

b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);

26) «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale

pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra

due o più Stati.