accesso selezionato:
da un punto di vista logistico possibilità accordata ad individuati soggetti di ingresso in aree nelle quali si svolgono attività considerate a rischio (aree militarizzate); da un punto di vista logico-informatico abilitazione ad entrare e/o ad aprire determinate applicazioni o banche dati contenenti informazioni riservate. ( v. art. 9, comma 1, lettera b), Dpr 318/99). Ora art. 35, comma 1, sub lettera c) ed allegato "B" al D.L.vo 196/03
 amministratore di sistema:
soggetto, Responsabile o Incaricato, a cui è conferito il compito di sovrintendere alle risorse del sistema informativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione.
 antivirus:
programma per elaboratore che consente di individuare e neutralizzare altri programmi che modificano, danneggiano o distruggono i dati elaborati ed archiviati nelle memorie magnetiche di un computer.
 archivi contenenti dati sensibili o giudiziari
il disciplinare non da molte indicazione su che cosa si deve intendere per archivio. Il buon senso permette di individuare un archivio come un luogo sicuro, fisicamente delimitato, accessibile solo ad incaricati. Le dimensioni dell'archivio non hanno molta importanza e pertanto si può considerare archivio un armadio blindato, chiuso con serratura a chiave o combinazione, oppure anche una intera stanza, e perfino un intero edificio, alla sola condizione che tutte le vie di accesso all'edificio siano controllate e solo gli incaricati autorizzati possano entrare.
 autenticazione informatica:
insieme degli strumenti elettronici, delle operazioni e delle procedure per la verifica anche indiretta dell’identità.
 back up:
é la copia di sicurezza dei dati personali conservati su supporto magnetico in elaboratori elettronici che deve essere eseguita periodicamente.
 badge:
é la tessera, dotata di banda magnetica o di microprocessore, che contiene i dati identificativi di un soggetto. Abbinata spesso all'uso di una parola chiave è utilizzata, o inserendola o "passandola" in appositi lettori elettronici, per attivare una procedura di accesso a determinate aree fisiche o logiche di un sistema di sicurezza.
 banca dati:
qualsiasi complesso organizzato di dati, ripartito in uno o più sistemi di archiviazione dislocati in uno o più siti
 base dati:
raccolta di dati digitali o cartacei in formato omogeneo (ad es Database fatture in formato Access o cassetto contenente tutte le bolle dei clienti)
 blocco:
la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento
 border manager:
limiti prefissati alle mansioni che devono essere svolte da un amministratore
 certificazione:
art. 1, comma 1, sub lettera aa) del DPR 137/2003 che ha sostituito l'art; 1 del DPR 445/2000 (già art. 1, comma 1, lettera h), del Dpr 513/97) è il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra una chiave pubblica ed il soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni.
 chiave biometrica: 
ex art. 22, comma 1 sub lettera c) del DPR 445/2000 (già art. 1, comma 1, lettera g), del Dpr 513/97, é la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell' utente.
 chiavi asimmetriche:
ex art. 8, comma 1, del DPR 137/03 che modifica l'art. 22 del DPR 445/200, (già art.1, comma 1, lettera d), del Dpr 513/97) è la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.
 cifratura dei dati:
procedura realizzata attraverso specifici programmi per elaboratore che permette di rendere il testo di un documento non intelligibile ai soggetti che non sono dotati delle apposite chiavi il cui uso permette appunto di cifrare e/o decifrare il testo redatto.
 codice identificativo personale:
insieme di caratteri alfanumerici attribuiti ad un singolo soggetto - con appositi programmi per elaboratore - utilizzato per riconoscere l'identità di chi ne è il titolare. Attraverso il predetto codice il suo titolare viene abilitato da un sistema di controllo logico o logistico a compiere determinate attività.
 comunicazione dati:
(v. anche diffusione) é la possibilità, prevista dall'art. 4, comma 1, sub lettera l) del D.L.vo 196/03 (già l. 675/96 all'art. 10 comma 1, lettera d), di trasmettere i dati personali raccolti da un soggetto, previo il suo consenso e fatte salve le previste esclusioni dello stesso, ad altri soggetti per previste ed individuate finalità. La descrizione dell'operazione di "comunicazione" va sempre letta in abbinamento con l'operazione di "diffusione ". La comunicazione avviene quando i dati vengono trasferiti a soggetti ben individuati e la legge pone questa vistosa differenza, rispetto alla diffusione, in quanto è evidente che la comunicazione è, concettualmente, assai meno pericolosa della diffusione. Se infatti si comunica un dato errato ad un certo numero di enti, è possibile raggiunge ogni singolo ente e pregarlo di correggere il dato errato. Se per contro si diffonde un dato, ad esempio attraverso una trasmissione radiotelevisiva, diventa assai più difficile raggiungere tutti gli ascoltatori, per informarli dell'avvenuto errore.
 comunicazione elettronica:
ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radio diffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile. E' interessante leggere questa definizione in abbinamento con le operazioni di "comunicazione" e di "diffusione ". Questa definizione mette chiaramente in evidenza che la comunicazione avviene tra soggetti identificati, mentre la diffusione avviene fra soggetti almeno in parte non compiutamente identificati
 consenso :
il consenso rappresenta un momento assolutamente critico in fase di raccolta dei dati, in quanto rappresenta la esplicita autorizzazione, da parte dell'interessato, al trattamento dei dati, nei limiti indicati nella informativa, che l'interessato precedentemente ha ricevuto. Non è pertanto possibile esprimere consenso, se non a fronte di un informativa; occorre anche sottolineare il fatto che il consenso fa sempre e solo esplicito riferimento alla informativa, e non è consentito al titolare di trattamento estendere in alcun modo il consenso ad altre attività, non previste nella informativa. Ogniqualvolta cambiano le modalità di trattamento, occorre offrire nuova informativa e ottenere un nuovo consenso. Anche in questo caso, il decreto legislativo offre un certo numero di modalità, grazie alle quali il consenso può essere legittimamente raccolto. È evidente che la forma scritta è quella preferenziale (perfino obbligatoria, in caso di dati sensibili), ma nulla impedisce che sia valido anche un consenso raccolto oralmente, purché in qualche modo sia possibile avere una prova che questo consenso sia stato effettivamente espresso.
 controllo del trattamento:
attività e procedure organizzative, fisiche e logiche messe in essere - secondo le previsioni dell'allegato B) al D.L.vo 196/03 (già l. 675/96 (art. 15 e segg. e Dpr 318/99) - da un operatore al fine di proteggere i dati personali ed il loro trattamento dai rischi di distruzione e di perdita ed altresì onde non consentire un accesso ai dati da parte di terzi non autorizzati.
 credenziali di autenticazione: 
ex num. 2 dell'allegato B) del D.Lvo. 196/03 "consistono in un codice per l'identificazione dell'incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo .. oppure ad una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave". (v. anche parola chiave- password)
 data log journal :
"libro giornale" compilato automaticamente da un elaboratore. Il data log permette di verificare analiticamente tutte le attività di elaborazione e di trattamento eseguite e di indicare il tempo in cui le stesse sono state effettuate. Se il sistema informatico è dotato di programmi che consentono l'accesso attraverso parole chiave e/o codici identificativi personali il data log journal permette anche di riferire l'attività ed i tempi di svolgimento ai singoli soggetti che la eseguono.
 dato anonimo:
ex , primo comma, lettera n), dell'art. 4 del D.L.vo 196/03 è il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
 dato "comune":
informazioni che, riferite ad una persona, sono utili a riconoscerla o rintracciarla. Si ricava dal dettato dell'art. 1, comma 1, lettera c) e , per esclusione, ex art. 22 della L. 675/96 che elenca i c. d. "dati sensibili". I dati comuni sono quelli che riguardano il prenome, il nome, l'indirizzo, la residenza anagrafica, il numero telefonico, il codice fiscale, la partita iva. I dati comuni sono riferibili anche ad enti sia pubblici che privati ed allora riguardano la sede, l'indirizzo, il numero di telefono ecc. (vedi dato personale).
 dato "sensibile":
secondo l'art. 4, primo comma, sub lettera d) del D.L.vo 196/03 (già art. 22, sub n. 1, della l. 675/96), sono i dati personali, tassativamente indicati, idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
 dato personale:
ex art. 4, comma 1, lettera b), del D.L.vo 196/03 è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazioni, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
 diffusione dati:
é l'attività prevista ex art. 4, comma 1, lettera l), del D.L.vo 196/03 che consiste nel dare conoscenza dei dati personali a soggetti indeterminati in qualunque forma, anche mediante la loro messa a disposizione o consultazione. (v. anche comunicazione dati)
 diritto di accesso 
il diritto di accesso rappresenta un aspetto fondamentale dell'intera impalcatura legislativa, ed offre la prova provata che il vero " padrone " dei dati non è il titolare del trattamento, bensì l'interessato. Il diritto di accesso evidentemente è solo il primo passo dei diritti che la legge riconosce all'interessato, in quanto successivamente all'accesso l'interessato ha diritto di richiedere alterazioni, integrazioni, cancellazione di dati e via dicendo. Vale la pena di sottolineare il fatto che questo diritto di accesso va sempre letto in stretta relazione al consenso, in quanto nella terminologia anglosassone sono presenti due diverse tipologie di consenso e di accesso, rispettivamente chiamate con le espressioni "opt in" ed " opt out". La prima espressione fa riferimento all'impostazione tipicamente italiana, che prevede che nessun titolare di trattamento possa trattare dati, senza un esplicito consenso dell'interessato. Con l'altra espressione invece si fa riferimento alla situazione contraria, nella quale un titolare può trattare tranquillamente i dati personali dell'interessato, finché egli non nega il consenso al trattamento. Appare chiaro da questa formulazione come il consenso ed il diritto di accesso siano due aspetti, che hanno rilevanza diversa, a seconda dell'approccio prescelto. Vale a pena di ricordare che per semplificare l'esercizio del diritto di accesso, nei paesi anglosassoni da tempo esistono dei registri centralizzati, utilizzati soprattutto da aziende, che effettuano informazione commerciale per posta o per telefono; l'interessato può accedere a questi registri e chiedere ad esempio che il suo nome venga cancellato da tutti gli elenchi di trattamento, da chiunque detenuti, con riferimento a specifiche informative, come ad esempio informative di natura bancaria, di natura assicurativa od altro. In Italia siamo ancora abbastanza lontani da questa situazione, ma il fatto che il decreto legislativo abbia sottolineato la necessità di mettere a punto un codice deontologico, per tutti coloro che utilizzano grandi banche dati, per operazioni di informazione commerciale, indica che siamo sulla buona strada 
 documento informatico:
ex art. 8, comma 1, lettera a), Dpr 445/2000 é il documento valido e rilevante a tutti gli effetti da chiunque formato o registrato su supporto informatico e trasmesso con strumenti telematici secondo le regole tecniche previste dal DPCM 8 febbraio 1999.
 documento programmatico sulla sicurezza 
un documento che deve essere obbligatoriamente compilato dal titolare e dal responsabile del sistema di trattamento di dati, che utilizza dati sensibili o relativi a procedimenti giudiziari. Le caratteristiche di questo documento sono precisate nel disciplinare, allegato al codice in materia di dati personali, nel quadro delle misure minime di sicurezza che devono essere garantite da tutti coloro che trattano dati personali, con sistemi automatizzati o manuali. In particolare, il documento programmatico sulla sicurezza si riferisce alle misure da adottare in sistemi di trattamento automatizzato. Mentre nella prima formulazione legislativa le indicazioni su questo documento erano piuttosto vaghe e soprattutto di indirizzo, nel presente disciplinare la articolazione documento viene se meglio precisata, introducendo tutta una serie di obblighi, tra i quali si mettono in particolare evidenza quelli di introdurre delle metodologie procedurali e tecniche di filtro dell'accesso ai dati da parte degli incaricati. Sono inoltre previsti periodici aggiornamenti, la adozione di sistemi antivirus ed è imposto l'obbligo del salvataggio almeno settimanale dei dati personali.La presenza e la completezza di questo documento debbono inoltre essere documentate annualmente, ad esempio, in fase di presentazione del bilancio aziendale all'assemblea degli azionisti
 elaboratore:
(G. Fiorentino, Enciclopedia dell'informatica, 1979, 125) " è una apparecchiatura comprendente dispositivi di ingresso e di uscita che, ai segnali di ingresso, portatori di informazione, fa corrispondere in uscita altri segnali, in base a regole stabilite da un programma.. è quindi essenzialmente una macchina per il trattamento dell'informazione". (v. anche strumenti informatici ed automatizzati)
 fascicolo esplicativo:
(v. anche modello di notifica al garante) é il fascicolo che contiene le istruzioni ed i codici numerici indispensabili alla compilazione del modello per la notifica del trattamento dei dati al Garante.
 finalità del trattamento:
è l'indicazione dettagliata, che l'interessato deve conoscere in base all'art. 13, comma 1, lettera a), del D.L.vo 196/03, degli scopi per i quali il trattamento dei dati viene effettuato dal titolare o dal responsabile del trattamento.
 firma digitale:
secondo il dettato del DPR 445/200 come modificato dall'art. 1, comma 1, sub lettera n) del DPR 137/03 è "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici";
 freeware:
è il software, cioè il programma per elaboratore, che solitamente viene distribuito, a titolo gratuito, in Internet dallo stesso autore che lo ha creato.
 firewall :
sistema hardware e software che - inserito fra la rete Internet e la rete interna di un ente - individua e controlla il traffico dei singoli pacchetti TCP.IP facendo transitare solo i pacchetti autorizzati secondo delle regole stabilite dall'amministratore di sistema ed eliminando (drop the packet) i pacchetti non autorizzati.
 Garante:
è l'autorità, istituita ex art. 30 della l. 675/96, che come riaffermato dall'art. 153 del D.Lvo. 196/03, ha come compito la protezione dei dati personali ed alla quale è attribuita - ex art. 154 - un serie di compiti specificati ed anche la possibilità di una serie di controlli sulla correttezza e veridicità degli adempimenti messi in essere dai soggetti che sono sottoposti alla norma.
 hardware:
é la c.d. parte "dura" dell'elaboratore e delle varie sue periferiche (es.: tastiera, stampante, monitor) in contrapposizione a software - la parte "soffice" - cioè l'algoritmo che permette all'elaboratore di compiere il trattamento delle informazioni secondo le modalità indicategli dal programmatore.
 incaricato del trattamento dei dati personali:
ex art. 4, comma 1, lettera h) 153 del D.Lvo. 196/03 ( già art. 2, comma 1, del Dpr 318/99) è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile".
Nel presente decreto legislativo è stato chiarito il concetto che l'incaricato è necessariamente una persona fisica ed è stato anche meglio chiarito come lo stesso viene designato e viene inserito nel ciclo di trattamento. La designazione deve avvenire per iscritto, come pure per iscritto debbono essere impartite delle specifiche istruzioni, che indicano in modo assai articolato il modo in cui l'incaricato deve trattare i dati personali, a lui affidati in fase di trattamento. Quando il trattamento avviene con sistemi automatizzati, vengono prese ulteriori precauzioni, che impediscono all'incaricato di accedere a dati, non afferenti alla sua attività. Come regola generale, l'incaricato deve conoscere esclusivamente i dati di suo diretto interesse, adottando procedure automatizzate o chiare istruzioni che impediscano l'accesso ad altri dati 
 id card:
vedi codice identificativo personale
 indirizzo elettronico:
ex art. 22, comma 1, lettera h), del Dpr. 445/2000 é l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici.
 informativa :
l'informativa è quella comunicazione, che si può manifestare in molte forme, in via orale o per iscritto, che deve compiere il titolare del trattamento, od un suo incaricato, all'atto della raccolta dei dati. Poiché i dati raccolti fanno riferimento dell'interessato, l'informativa deve essere indirizzata all'interessato stesso. Il Garante offre una certa latitudine nella formulazione della informativa, ad esempio consentendo che essa possa essere articolata a due livelli, per esigenze di praticità. È questo il caso degli impianti di video sorveglianza, laddove si richiede una informativa oltremodo sintetica all'ingresso della zona video ripresa, salvo tenere a disposizione una informativa più articolata, per gli interessati che desiderano avere maggiori informazioni sulla modalità con le quali immagini, che li riprendono, vengono gestite. Come osservazione di carattere generale, è bene tener presente che se pure il decreto legislativo prevede molti casi, nei quali è possibile raccogliere dati personali senza ottenere il consenso dell'interessato, sono estremamente pochi i casi, in cui è possibile procedere alla raccolta, senza offrire informativa. Pertanto l'informativa è quasi sempre obbligatoria, mentre il consenso non sempre è indispensabile 
 interessato:
ex art. 4, comma 1, lettera i) del D.Lvo. 196/03 (già art. 1, comma 1, lettera f), della l. 675/96) è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati
L'interessato rappresenta evidentemente la figura principale nell'intera legislazione perché "genera", in un certo senso, i dati stessi. Vale la pena di sottolineare che l'espressione "interessato" non è particolarmente felice, perché non mette in chiara evidenza il diretto ed totale coinvolgimento dell'interessato nel trattamento dei suoi dati. Sembra assai più felice, a questo proposito, la denominazione utilizzata nella legislazione anglosassone, vale a dire " data subject ". E' evidente che l'espressione "soggetto dei dati" mette meglio in evidenza il concetto di "proprietà", legato ai dati stessi 
 interpello al titolare 
un interessato può interpellare il titolare od il responsabile ai sensi dell’articolo 8, comma 1, per chiarimenti ed informazioni. Essi devono rispondere entro quindici giorni dal ricevimento dell’interpello. Se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno comunicazione all’interessato. In tal caso, il termine per l’integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima.Se la risposta è insoddisfacente o tardiva, si può presentare ricorso al Garante
 ITSEC (Information Tecnology Security Evaluation Criteria):
è un sistema di valutazione della sicurezza nel trattamento e nel controllo delle informazioni che vengono elaborate con strumenti informatici ed automatizzati. E' stato introdotto nel 1992 dalla Commissione delle Comunità Europee (DGXIII) ed é stato utilizzato dagli Stati per gestire la sicurezza nazionale secondo il concetto per il quale la riservatezza era considerata come "la prevenzione dell'accesso non autorizzato all'informazione". ITSEC prevede un sistema di valutazione della sicurezza secondo sette livelli che vengono indicati con sigle: da C zero (C0)- nessuna sicurezza - a C sei (C6) - massima sicurezza.
 misure di sicurezza (idonee e perventive) 
la definizione delle misure idonee di sicurezza va sempre letta in abbinamento con la identificazione delle misure minime di sicurezza. Le misure di sicurezza idonee sono quelle che sono atte a ridurre al minimo i rischi del trattamento, con particolare riferimento ad alcune tipologie di rischio, chiaramente indicate nel testo del decreto legislativo, all'articolo 31 (rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta).Le misure idonee devono essere liberamente scelte dal titolare, con la collaborazione del responsabile, ed essi soli portano la completa responsabilità di tali misure. Nel caso si verifichino delle anomalie nel trattamento, con perdita di dati, comunicazione non autorizzata e simili, il titolare ed il responsabile dovranno dimostrare alla magistratura civile e penale di avere adottato misure idonee, e non essere pertanto soggetti alle responsabilità di cui l'articolo 2050 del codice civile.
 misure minime (di sicurezza) 
ex art. 33 e segg. ed ex allegato B), del D.Lvo. 196/03 (già art. 1, comma 1 lettera a), del Dpr 318/99) è il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31. La adozione delle misure minime di sicurezza, chiaramente descritte nel disciplinare allegato al decreto legislativo 196/2003, rappresenta un obbligo di legge, per il quale non è prevista alcuna esclusione, se non nella limitazione di alcune misure, per comprovata impossibilità tecnica e comunque solo per un periodo transitorio. Il titolare ed il responsabile non hanno quindi alcuna discrezionalità nella applicazione delle misure minime, mentre invece hanno piena discrezionalità nella individuazione ed applicazione delle misure idonee. Appare evidente che in fase di ispezione da parte degli ispettori del Garante, mentre è certo che si verificherà se sono state adottate le misure minime, si potranno solo offrire raccomandazioni ed indicazioni in merito alla adozione di eventuali misure idonee, in quanto la responsabilità relativa all'adozione non è supportata da uno specifico obbligo di legge, come invece avviene per le misure minime
  modello di notifica al garante:
(vedi anche fascicolo esplicativo) si tratta di un modello predisposto dal Garante per il trattamento dei dati personali e da utilizzare per i diversi adempimenti previsti ex art. 37 e 38 del D.Lvo. 196/03 in tema di notifica
 need to know :
é un principio generale sviluppato nella gestione dei sistemi di sicurezza secondo il quale i soggetti che devono compiere attività di trattamento di informazioni sono autorizzati a trattare i soli dati essenziali allo svolgimento del mansionario loro attribuito. (v. allegato B del D.Lvo. 196/03)
 notificazione 
la notificazione, e non notifica, come talvolta erroneamente si suole dire, è un documento, inizialmente cartaceo od elettronico, ma dal primo gennaio 2004 esclusivamente elettronico, che viene inviato al Garante, per renderlo edotto del fatto che un titolare di trattamento ha intenzione di cominciare a trattare dati personali. Questa comunicazione deve avvenire prima dell'inizio del trattamento e contiene tutta una serie di dati, che permettono al Garante di inquadrare la tipologie di trattamento stesso. Mente in un primo tempo la notificazione era in pratica obbligatoria per la stragrande maggioranza dei titolari di trattamento, il testo unico ha profondamente innovato la situazione, rendendo in pratica non necessaria la notificazione nel grande maggioranza dei casi, ed imponendola solo i casi ben precisi. Come è evidente, questi casi fanno riferimento a trattamenti di dati che sono particolarmente critici. 
 parola chiave:
la norma non ne stabilisce una definizione; si tratta di una sequenza di lettere o numeri o anche alfanumerica che viene gestita da un apposito programma per elaboratore. All'accensione dell'elaboratore il sistema presenta allora, a video, una "finestra elettronica" nella quale - in un apposito spazio - viene richiesta la digitazione appunto di una parola chiave composta da una sequenza, più o meno lunga di caratteri. Il sistema, una volta confrontata l'identità della parola chiave con quella conservata nella propria memoria, concede l'accesso a tutte le applicazioni ed a tutti i documenti che ha in memoria o - secondo il principio di sicurezza need to know (v. anche need to know) a parte di essi; diversamente nega l'accesso ed eventualmente attiva un programma di allarme.
 password:
vedi parola chiave.
 preposto alle parole chiave ed/od ai codici identificativi personali:
secondo l'allegato B) del D.Lvo. 196/03 é il soggetto che sovrintende alla custodia, alla gestione ed alla disattivazione delle parole chiave e dei codici identificativi personali attribuiti agli incaricati del trattamento dei dati personali.
 profilo di autorizzazione:
insieme delle informazioni, univocamente associate ad una persona ed a questa nota, costituita da una sequenza di caratteri o da altri dati in forma elettronica.
 protocollo informatico:
ex art. 1, comma 1, lettera c), dell'abrogato DPR 428/98 reiterato nel DPR 445/2000 è l'insieme delle risorse di calcolo, degli apparati, delle reti di comunicazione e delle procedure informatiche utilizzati dalle amministrazioni per la gestione dei documenti.
 responsabile del trattamento:
ex art.4, comma 1, lettera g), del D.Lvo. 196/03 (già art. 1, comma 1, lettera e), della l. 675/96), è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali.
La figura del responsabile è stata spesso male interpretata da parte dei titolari, in quanto l'espressione adottata dalla legge italiana, vale a dire " responsabile ", non è particolarmente felice. È infatti evidente che se un responsabile opera sotto precise istruzioni di un titolare, che oltretutto deve continuamente vigilare sul suo operato, come appunto prescrive la legge, il suo grado di responsabilità, che è direttamente connesso al livello di autonomia di cui dispone di responsabile stesso, viene fortemente limitato, come pure potrebbe esser limitato il livello del suo coinvolgimento in eventuali responsabilità civili e penali. Ad oggi non siamo ancora in possesso di una pronunzia della magistratura, che possa determinare con chiarezza l'ambito di estensione delle responsabilità del responsabile, ma non vi è dubbio che questo ambito è largamente inferiore, rispetto a quello che la legge, ad esempio, prevede per il responsabile ai sensi del decreto legislativo 626/94
 restore :
è la possibilità fornita da un apposito sistema informatico di riottenere immediatamente l'accesso ad informazioni elaborate elettronicamente dopo che le stesse sono state perdute a causa di un evento accidentale o danneggiate intenzionalmente da terzi. (vedi back up)
 sanzioni privacy:
sono le sanzioni previste dal Titolo III, Capo I ed II del D.L.vo 196/03 dall'art. 161 al 172 (nella disciplina previgente dalCapo VIII della legge 675/96.
 scopi scientifici:
finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche di uno specifico settore.
 scopi statistici:
finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici.
 scopi storici:
finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato.
 sistema di archiviazione:
unità sia digitale (server) che analogica (armadio, cassetti e archivi), contenente una o più base dati.
 sistema di autorizzazione:
insieme di strumenti e procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
E’ la procedura organica, che stabilisce per ogni incaricato o categoria omogenea di incaricati, quali sono i dati accessibili e le operazioni di trattamento consentite, nonché tutte le annesse disposizioni che prevedono la sospensione della validità dell'autorizzazione, le modalità di emissione e di revoca, le modalità di variazione costituiscono un sistema di autorizzazione
 software:
programma applicativo che permette all'elaboratore di compiere una serie di attività di trattamento delle informazioni secondo le regole ed i flussi indicati e predeterminati dal programmatore che è autore del programma stesso.
 server:
elaboratore centrale, utilizzato e condiviso da altri elaboratori e terminali ad esso connessi, che conserva nella propria memoria dati e informazioni che ivi vengono registrate.
 strumenti elettronici:
ex art. 4, comma 3, sub lettera b) del D.Lvo. 196/03 sono gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
 titolare del trattamento:
ex art. 4, comma 1, sub lettera f) (già art. 1, comma 1, lettera d), della l. 675/96), è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.
Poco dopo l'entrata in vigore della legge 675/96 sulla protezione dati personali, il Garante si vide costretto a chiarire meglio la figura del titolare. Il titolare è, come chiaramente descritto nelle avvertenze preliminari alla compilazione della notificazione, la azienda o l'ente notificante in quanto tale; il fatto poi che l'azienda sia rappresentata dal legale rappresentante, che materialmente firma la notificazione, nulla toglie alla figura del titolare. Questo aspetto è oltremodo importante, perché ad esempio mette in evidenza il fatto che in caso di responsabilità di tipo civile, è l'azienda del suo complesso che ne risponde, che non solo colui che ha firmato la notificazione. Per contro, in caso di responsabilità di natura penale, dovrà essere individuato il soggetto fisico cui far risalire la responsabilità della violazione 
 trattamento:
ex art. 4, comma 1, sub lettera a) del D.Lvo. 196/03 (già art. 1, comma 1, lettera b), della l. 675/96), è qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche non organizzati in una banca dati.
 user id:
vedi codice identificativo personale.
 web aziendale:
rete di comunicazione elettronica all'interno di una azienda che, attraverso cavi, raggi infrarosso od altri sistemi di connessione, permette a più elaboratori e/o terminali di trasferire e condividere informazioni e dati.