1. Ai fini della presente legge, si intende per:
a) «programma per elaboratore» (software) ogni programma per elaboratore elettronico, costituito da un sistema operativo o da un programma applicativo;
b) «apparecchiatura di raccolta automatica di dati personali» qualunque apparecchio fisico o programma per elaboratore che memorizza o trasmette automaticamente, in maniera temporanea o permanente, dati concernenti il proprio funzionamento o quello di altri apparecchi e programmi per elaboratore, in cui si possono potenzialmente trovare o ricavare informazioni personali o sensibili, come individuate ai sensi del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 luglio 2003, n. 196, e successive modificazioni. Tra le apparecchiature di raccolta automatica dei dati personali sono compresi le reti Global System for Mobile (GSM), i dispositivi Radio Frequency Identification (RFID), i server World Wide Web ed i sistemi di videocontrollo, nonché tutte le apparecchiature che memorizzano su file di log o su supporti analogici informazioni prodotte dall'attività di individui, quali messaggi brevi di testo, posizioni dei terminali GSM, pagine web accedute, luoghi e tempi di presenza, dati biometrici. Tutte le raccolte di dati riguardanti l'attività di individui che sono georeferenziate, ovvero che contengono dati di posizione geografica, o cronoreferenziate, ovvero che contengono dati di posizione nel tempo, e che contengono un identificatore univoco di un
c) «gestore di raccolte di dati automatizzate» il titolare del trattamento di dati, individuato ai sensi del citato codice di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, o, in sua mancanza, il responsabile organizzativo delle apparecchiature di raccolta dei dati o, in sua mancanza, il responsabile operativo delle apparecchiature di raccolta di dati;
d) «raccolta di dati personali automatizzata» qualunque archivio o flusso di dati generato da una apparecchiatura di raccolta automatica di dati personali;
e) «file di log» qualunque raccolta di informazioni effettuata da un apparecchio fisico o da un programma per elaboratore che è utile o necessaria per il suo funzionamento, ma non ne realizza la funzione principale;
f) «flusso di dati generato da una apparecchiatura di raccolta automatica di dati personali» la trasmissione di dati realizzata da una apparecchiatura di raccolta automatica di dati personali ad altre apparecchiature o soggetti che possono potenzialmente elaborarli o memorizzarli;
g) «procedura di backup» l'insieme di procedure gestionali, di elaboratori, di periferiche per elaboratori e di supporti per la memorizzazione dei dati che vengono utilizzati per garantire la conservazione temporanea di copie degli archivi di dati, al fine di consentire l'archiviazione o il ripristino dei dati stessi in caso di necessità;
h) «profilazione degli utenti» qualunque operazione che, elaborando dati provenienti da una raccolta automatizzata di dati personali, produce dati derivati che evidenziano o raccolgono informazioni sugli utenti e sui loro comportamenti riconducibili a una singola persona;
i) «identificatore univoco di un utente» (IUU) qualunque dato che permette di raggruppare e di attribuire a un singolo
l) «identificazione di un utente» qualunque operazione di elaborazione o incrocio di raccolte automatizzate di dati personali tra loro o con altri tipi di dati che può portare, anche tramite l'impiego di IUU, all'identificazione anagrafica di un utente come persona fisica.