Art. 1.
(Definizioni).

      1. Ai fini della presente legge, si intende per:

          a) «programma per elaboratore» (software) ogni programma per elaboratore elettronico, costituito da un sistema operativo o da un programma applicativo;

          b) «apparecchiatura di raccolta automatica di dati personali» qualunque apparecchio fisico o programma per elaboratore che memorizza o trasmette automaticamente, in maniera temporanea o permanente, dati concernenti il proprio funzionamento o quello di altri apparecchi e programmi per elaboratore, in cui si possono potenzialmente trovare o ricavare informazioni personali o sensibili, come individuate ai sensi del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 luglio 2003, n. 196, e successive modificazioni. Tra le apparecchiature di raccolta automatica dei dati personali sono compresi le reti Global System for Mobile (GSM), i dispositivi Radio Frequency Identification (RFID), i server World Wide Web ed i sistemi di videocontrollo, nonché tutte le apparecchiature che memorizzano su file di log o su supporti analogici informazioni prodotte dall'attività di individui, quali messaggi brevi di testo, posizioni dei terminali GSM, pagine web accedute, luoghi e tempi di presenza, dati biometrici. Tutte le raccolte di dati riguardanti l'attività di individui che sono georeferenziate, ovvero che contengono dati di posizione geografica, o cronoreferenziate, ovvero che contengono dati di posizione nel tempo, e che contengono un identificatore univoco di un

 
Pag. 6

utente (IUU) appartengono alla categoria definita ai sensi della presente lettera;

          c) «gestore di raccolte di dati automatizzate» il titolare del trattamento di dati, individuato ai sensi del citato codice di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, o, in sua mancanza, il responsabile organizzativo delle apparecchiature di raccolta dei dati o, in sua mancanza, il responsabile operativo delle apparecchiature di raccolta di dati;

          d) «raccolta di dati personali automatizzata» qualunque archivio o flusso di dati generato da una apparecchiatura di raccolta automatica di dati personali;

          e) «file di log» qualunque raccolta di informazioni effettuata da un apparecchio fisico o da un programma per elaboratore che è utile o necessaria per il suo funzionamento, ma non ne realizza la funzione principale;

          f) «flusso di dati generato da una apparecchiatura di raccolta automatica di dati personali» la trasmissione di dati realizzata da una apparecchiatura di raccolta automatica di dati personali ad altre apparecchiature o soggetti che possono potenzialmente elaborarli o memorizzarli;

          g) «procedura di backup» l'insieme di procedure gestionali, di elaboratori, di periferiche per elaboratori e di supporti per la memorizzazione dei dati che vengono utilizzati per garantire la conservazione temporanea di copie degli archivi di dati, al fine di consentire l'archiviazione o il ripristino dei dati stessi in caso di necessità;

          h) «profilazione degli utenti» qualunque operazione che, elaborando dati provenienti da una raccolta automatizzata di dati personali, produce dati derivati che evidenziano o raccolgono informazioni sugli utenti e sui loro comportamenti riconducibili a una singola persona;

          i) «identificatore univoco di un utente» (IUU) qualunque dato che permette di raggruppare e di attribuire a un singolo

 
Pag. 7

utente, non identificabile anagraficamente, una serie di dati, non necessariamente personali o sensibili, precedentemente raccolti in forma anonima;

          l) «identificazione di un utente» qualunque operazione di elaborazione o incrocio di raccolte automatizzate di dati personali tra loro o con altri tipi di dati che può portare, anche tramite l'impiego di IUU, all'identificazione anagrafica di un utente come persona fisica.