L’article 4 del Reglament General de Protecció de Dades amplia la ja tradicional llista de definicions i conceptes que incloïa la Directiva 95/46/CE i les diferents lleis de desenvolupament dels diferents Estats Membres, entre elles, la LO 15/1999 de Protecció de Dades Personals. Es continua optant per una versió el més àmplia possible del significat de “dada personal”, que es tota aquella informació sobre una persona física identificada o identificable. I per identificable es refereix a quan la identitat d’una persona pot determinar-se directament o indirectament, mitjançant un identificador, o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona. Amb això es garanteix un concepte ampli de dada personal que engloba també dades personals -més enllà dels evidents noms i cognoms, DNI, adreça postal, etc.- com les matrícules dels vehicles o la pròpia IP dinàmica mitjançant la qual un usuari pot accedir a la pàgina web d'un proveïdor de serveis de telecomunicacions, per posar alguns exemples.
Igual que succeeix amb el significat de dada personal, el concepte de tractament segueix sent ampli, tant que inclou qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no , com la recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, confrontació o interconnexió, limitació, supressió o destrucció. Es tracta de garantir així que la normativa de protecció de dades sigui aplicable en una infinitat de supòsits, i d'aquesta manera, aconseguir una tutela efectiva del dret de les persones físiques a la protecció de les seves dades personals.
Serà una elaboració de perfil tota forma de tractament automatitzat de dades personals consistent en utilitzar dades personals per avaluar determinats aspectes personals d'una persona física, en particular per analitzar o predir aspectes relatius al rendiment professional, situació econòmica, salut, preferències personals, interessos, fiabilitat, comportament, ubicació o moviments d'aquesta persona física.
La seudonimització és el tractament de dades personals de forma que ja no es puguin atribuir a un interessat sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixin a una persona física identificada o identificable.
El consentiment ha de ser considerat com tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l'interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen.
La persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determini les finalitats i mitjans del tractament. Amb el nou RGPD no hi ha canvis substancials en relació amb el marc de protecció de dades que establia la Directiva 95/46/CE. Sí suposa una novetat la desaparició formal del terme "responsable del fitxer", així com la figura del "titular del fitxer". En el marc de protecció de dades que regulava la LOPD i el seu reglament de desenvolupament, s'utilitzaven indistintament els conceptes de responsable del fitxer i responsable del tractament. Es tracta del mateix personatge al qual el legislador europeu en la Directiva 95/46 / CE i en la LOPD se li va ocórrer nomenar de dues formes diferents. En la mesura que desapareix l'obligació de notificar fitxers a les autoritats de control nacionals, desapareix també aquesta noció equívoca de responsable del fitxer, així com el titular del fitxer que mai va tenir cap tipus de repercussió.
La persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament. Amb el nou RGPD no hi ha canvis substancials en relació amb el marc de protecció de dades que estableix la Directiva 95/46/CE.
El RGPD ens parla del destinatari per fer referència a la persona física o jurídica, autoritat pública, servei o un altre organisme al que es comuniquin dades personals, amb independència de si es tracta o no d'un tercer, que és aquella persona física o jurídica, autoritat pública, servei o organisme diferent de l'interessat, del responsable del tractament, de l'encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l'autoritat directa del responsable o l'encarregat.
Per afectat o interessat s'ha de tenir en compte tota persona física, titular de les dades que siguin objecte d'un tractament o processament.
Tota violació de la seguretat que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o accés no autoritzats a les esmentades dades.