El artículo 4 del Reglamento General de Protección de Datos amplía la ya tradicional lista de definiciones y conceptos que incluían la Directiva 95/46/CE y las diferentes leyes de desarrollo de los distintos Estados Miembros, entre ellas, la LOPD 15/1999 de Protección de Datos Personales. Se continúa optando por una versión lo más amplia posible del significado de “dato personal”, que es toda [aquella] información sobre una persona física identificada o identificable. Y por inidentificable se refiere a cuando la identidad de una persona pueda determinarse, directa o indirectamente, mediante un identificador, o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Con ello se garantiza un concepto amplio de dato personal que engloba también datos personales -más allá de los evidentes nombres y apellidos, DNI, dirección postal, etc.- como las matrículas de los vehículos o la propia IP dinámica mediante la que un usuario puede acceder a la página web de un proveedor de servicios de telecomunicaciones, por poner algunos ejemplos.
Al igual que sucede con el significado de dato personal, el concepto de tratamiento sigue siendo amplio, tanto que incluye cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Se trata de garantizar así que la normativa de protección de datos será aplicable en un sinfín de supuestos, y de ese modo, conseguir una tutela efectiva del derecho de las personas físicas a la protección de sus datos personales.
Será una elaboración de perfil toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física
La seudonimización es el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
El consentimiento deber ser considerado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Con el nuevo RGPD no hay cambios sustanciales en relación con el marco de protección de datos establecido en la Directiva 95/46/CE. Sí supone una novedad la desaparición formal del término “responsable del fichero”, así como la figura del “titular del fichero”. En el marco de protección de datos que regulaba la LOPD y su reglamento de desarrollo, se utilizaban indistintamente los conceptos de responsable del fichero y responsable del tratamiento. Se trata del mismo personaje al que el legislador europeo en la Directiva 95/46/CE y en la LOPD se le ocurrió nombrar de dos formas diferentes. En la medida en que desaparece la obligación de notificar ficheros a las autoridades de control nacionales, desaparece también esta noción equívoca de responsable del fichero, así como el titular del fichero que nunca tuvo ningún tipo de repercusión.
La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Con el nuevo RGPD no hay cambios sustanciales en relación con el marco de protección de datos establecido en la Directiva 95/46/CE.
El RGPD nos habla del destinatario para hacer referencia a la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, con independencia de si se trata o no de un tercero, que es aquella persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
Por afectado o interesado debe tenerse en cuenta toda persona física, titular de los datos que sean objeto de un tratamiento o procesamiento.
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.