Es toda información sobre una persona física identificada o identificable («el interesado»); se considera persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

La legislación en materia de protección de datos ha sido objeto recientemente de un cambio importante. El pasado 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) que es el Reglamento 2016/679 del Parlamento Europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Sin embargo el RGPD no ha sido directamente aplicable hasta el 25 de mayo de 2018 fecha en la cual las empresas y organizaciones deben tener implementadas las medidas necesarias que aseguren el cumplimiento del RGPD. El RGPD deroga la Directiva 95/46/CE, sobre la cual se basaba la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es la persona física o jurídica, que determina los fines y medios del tratamiento.

Es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.

Es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones. Entre todas las funciones que ostenta está la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, así como la de ejercer la potestad sancionadora.

Figura que deben nombrar el responsable y el encargado del tratamiento siempre que: El tratamiento lo lleve a cabo una autoridad u organismo público. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.