Definiciones
Las siguientes definiciones de términos utilizados en este documento se han tomado del art. 4 del Reglamento General de Protección de Datos Personales de la Unión Europea (o RGPD) y de la normativa italiana en la materia (D. Leg. 30 de junio de 2003, n.º 196):
Dato Personal: se refiere a cualquier información referente a una persona física identificada o identificable (Interesado); se considera identificable la persona física que puede ser identificada, directa o indirectamente; a través de una referencia a un identificador como el nombre, un número de identificación, datos relativos a la ubicación, un identificador online o a uno o varios elementos característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.
Categorías Particulares de Datos Personales: estos merecen protección específica porque, por su naturaleza, son especialmente sensibles desde el punto de vista de los derechos y de las libertades fundamentales, puesto que el contexto de su tratamiento podría crear riesgos significativos para los derechos y las libertades fundamentales. Entre estos podrían incluirse también los datos personales que revelan el origen racional o étnico, las opiniones políticas, las convicciones religiosas y filosóficas, la pertenencia sindical, además de los datos genéticos, datos biométricos destinados a identificar de modo unívoco a una persona física, datos relativos a la salud o a la vida sexual o a la orientación sexual de la persona.
Responsable del tratamiento: la persona física o jurídica, la autoridad pública, el servicio u otro organismo que, individualmente o junto a otros, determina las finalidades y los medios del tratamiento de datos personales.
Encargado del tratamiento: una persona física o jurídica, la autoridad pública, el servicio u otro organismo que trata datos personales en representación del Responsable del tratamiento.
Tratamiento: cualquier operación o conjunto de operaciones, llevadas a cabo con o sin la ayuda de procesos automatizados y aplicadas a datos personales o conjuntos de datos personales, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o la modificación, la extracción, la consulta, el uso, la comunicación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, la comparación o la interconexión, la limitación, la eliminación o la destrucción.
Anominización: desidentificación irreversible de los datos personales de manera que estos ya no puedan atribuirse a un interesado específico sin utilizar información adicional, a condición de que esta información adicional se conserve por separado y se someta a medidas técnicas y organizativas destinadas a garantizar que esta información no puede atribuirse a una persona física identificada o identificable. En cambio, la pseudonimización reduce pero no elimina completamente la posibilidad de vincular el dato personal al interesado. Puesto que los datos pseudonimizados son en cualquier caso datos personales, el tratamiento de los datos pseudonimizados debería responder a los principios del Tratamiento de los Datos Personales.
Tratamiento transfronterizo: el tratamiento de datos personales que se realiza en el marco de las actividades de establecimientos en más de un Estado miembro de un Responsable o Encargado de la Unión cuando estén establecidos en más de un Estado miembro; o bien el tratamiento de datos personales que tiene lugar en el marco de las actividades de un único establecimiento de un Responsable o Encargado en la Unión, pero que afecta o probablemente afecta de modo sustancial a interesados en más de un Estado miembro;
Autoridad de Vigilancia: la autoridad pública independiente creada por un Estado miembro con arreglo al artículo 51 del RGPD de la UE;
Autoridad de Vigilancia Principal: es aquella con la responsabilidad principal de gestionar una actividad de tratamiento de datos transfronteriza, por ejemplo cuando un interesado presenta una reclamación al tratamiento de los propios datos personales. Entre otras cosas, es responsable de recibir las notificaciones de violación de los datos, de ser notificada sobre actividades de tratamiento arriesgadas y tendrá plena autoridad en cuanto a sus funciones para garantizar el cumplimiento de las disposiciones del RGPD de la UE;
Cada «autoridad de control local» mantendrá en cualquier caso la jurisdicción, en su propio territorio, y supervisará cualquier tratamiento de datos local que afecte a los interesados o que realice un Responsable o un Encargado dentro de la Unión o fuera de la Unión en caso de que su tratamiento se dirija a interesados residentes en el propio territorio. Sus cometidos y poderes incluyen la realización de investigaciones y la aplicación de medidas administrativas y sanciones, el fomento de la concienciación por parte del público de los riesgos, las normas, la seguridad y los derechos en relación con el tratamiento de los datos personales, así como el acceso a cualquier sede del Responsable y del Encargado de los datos, incluidos posibles instrumentos y medios para el tratamiento.
«Establecimiento principal en lo referente al Responsable» con establecimientos en más de un Estado miembro, determina el lugar de su administración central en la Unión, a no ser que las decisiones sobre las finalidades y los medios del tratamiento de datos personales se tomen en otro establecimiento del Responsable en la Unión y que este último establecimiento esté facultado para ordenar la ejecución de estas decisiones, en cuyo caso el establecimiento que ha tomado dichas decisiones se considerará el establecimiento principal;
«Establecimiento principal en relación con el Encargado» del tratamiento con establecimientos en más de un Estado miembro, determina el lugar donde tiene sede su administración central en la Unión o, si el encargado del tratamiento no tiene una administración central en la Unión, el establecimiento del encargado del tratamiento en la Unión en el que realizan las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado del tratamiento, en la medida en que este encargado está sujeto a obligaciones específicas con arreglo a la presente política.
«Grupo empresarial»: un grupo constituido por una empresa matriz y por las empresas filiales.