Il "trattamento dei dati" è costituito da qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione. Rientrano nella categoria del "trattamento dei dati":

1. la "profilazione", che consiste in qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
2. la "pseudonimizzazione", cioè quel particolare trattamento dei dati personali effettuato in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

I "soggetti" del Regolamento Europeo 679/2016 sono:

1. l'"interessato", cioè il soggetto nei cui confronti viene effettuato il trattamento dei dati personali che lo riguardano. Al fine del trattamento dati, egli esprime il proprio "consenso", cioè qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
2. il "titolare del trattamento", cioè la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
3. il "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
4. il "destinatario", cioè la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi;
5. il "terzo", cioè la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

Il "DPO" ("Data Protection Officer" o "Responsabile della Protezione Dati o RPD"), cioè il soggetto designato dal titolare e dal responsabile del trattamento ogniqualvolta:

1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2. le attività consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (art. 9) o di dati relativi a condanne penali e a reati (art. 10).

Ricorrendo i suddetti presupposti, sono quindi tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Quanto ai requisiti, il DPO non necessita, allo stato, di specifiche attestazioni formali o l'iscrizione in appositi albi. Tuttavia, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy offrendo, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.
Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il DPO deve poter disporre, inoltre, di risorse (personale, locali, attrezzature, ecc.) adeguate all’espletamento dei propri compiti.
I compiti del DPO sono relativi all'informazione, formazione, consulenza e sorveglianza interne all’organizzazione del titolare/responsabile del trattamento sull’adempimento della disciplina ‘privacy’. Egli è anche l’interlocutore dell’autorità di controllo.

Per "violazione dei dati personali" s'intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

Applicazione del Regolamento: materialmente, il Regolamento riguarda tutti i trattamenti automatizzati (anche parzialmente) di dati personali ovvero non automatizzati in archivi dati, ad eccezione dei trattamenti di persone fisiche nell’ambito di attività a carattere personale o domestico; territorialmente, il Regolamento riguarda tutti i trattamenti effettuati da titolari/responsabili con stabilimento nell’Unione, a prescindere dal fatto che i trattamenti siano gestiti in territorio UE

I "principii" ispiratori della nuova disciplina:

1. Quanto al "trattamento", questo dev'essere lecito, corretto e trasparente secondo quanto disposto dal Regolamento.
2. Quanto alle "finalità", le medesime devono essere determinate, esplicite e legittime.
3. Quanto ai "dati", gli stessi devono essere adeguati, pertinenti, esatti e aggiornati, oltre che limitati a quanto necessario rispetto alle finalità e comunque trattati in modo tale da garantirne un'adeguata sicurezza.

Sono "diritti dell'interessato", tra gli altri, quelli di "accesso" alle informazioni sul trattamento, di "rettifica", di cancellazione ("oblio"), di "portabilità dei dati", di "opposizione".

All’atto del trattamento, il titolare deve approntare misure tecniche e organizzative adeguate in modo da attuare efficacemente i principi di protezione dei dati eventualmente integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Il titolare del trattamento deve altresì attuare misure tecniche e organizzative adeguate al fine di garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.

E' prevista in capo al titolare del trattamento (e prima dell'inizio del medesimo) in tutte le ipotesi in cui un trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in considerazione dell’uso di nuove tecnologie, della natura, dell’oggetto, del contesto e delle finalità del trattamento medesimo. Essa consiste, in buona sostanza, in una sorta di "autovalutazione" che il titolare del trattamento è tenuto ad effettuare