L'article 4 de l'RGPD està dedicat íntegrament a aquestes definicions. Es tracta d'un article extens, amb vint-i-sis definicions, entre les quals n'hi ha diverses que ja estan presents en la Directiva i d'altres que són pròpies de les novetats que s'introdueixen en l'RGPD.
Entre les primeres poden esmentar-se les definicions de dada personal, tractament, fitxer, responsable, encarregat, destinatari, tercer, o consentiment de l'interessat.
Amb tot, i malgrat aquesta continuïtat, algunes d'aquestes definicions presenten matisos respecte a la Directiva.
Així, es defineix dada personal qualsevol informació sobre una persona física identificada o identificable (l'interessat), però la resta de la definició de la Directiva es vincula en el Reglament a aquest interessat, en establir-se que «es considerarà persona física identificable qualsevol persona la identitat de la qual pugui determinar-se, directament o indirectament, en particular mitjançant un identificador, com un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona».
És rellevant també que el considerant 30 constata que els identificadors en línia que es proporcionen als usuaris, com adreces dels protocols d'Internet (número IP, número de targeta MAC, IMEI), identificadors de sessió en forma de galetes o altres identificadors, com etiquetes d'identificació per radiofreqüència, poden ser considerades dades personals en determinades condicions.
El responsable és descrit com «la persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determina els fins i mitjans del tractament», és a dir, com qui decideix que es dugui a terme el tractament i la manera com es desenvoluparà. Novament se segueix la definició clàssica continguda en la Directiva.
La mateixa línia se segueix respecte a l'encarregat de tractament, «la persona física o jurídica, l'autoritat pública, el servei o un altre organisme que tracta dades personals a compte del responsable del tractament».
En el cas del consentiment, la definició de l'RGPD és també idèntica a la Directiva en les primeres frases. Tanmateix, el Reglament incorpora un element addicional, en assenyalar que la manifestació de voluntat lliure, específica, informada i inequívoca per la qual l'interessat accepta el tractament de les seves dades personals ha de prestar-se «mitjançant una declaració o una clara acció afirmativa». Aquesta precisió té gran calat, ja que exclou que el consentiment pugui atorgar-se mitjançant la inacció, com pot succeir amb algunes modalitats com el consentiment tàcit, en què el responsable informa l'interessat que tractarà les seves dades si no manifesta que no hi està d'acord en un termini determinat.
Juntament amb aquestes definicions, ja clàssiques en el dret europeu, l'RGPD en conté, com s'ha assenyalat, unes altres que reflecteixen les novetats que s'hi inclouen, i que són:
Pseudonimització
Tractament de dades personals de tal manera que ja no puguin atribuir-se a un interessat sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixin a una persona física identificada o identificable.
Elaboració de perfils
Qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar dades personals per avaluar determinats aspectes personals d'una persona física, en particular per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d'aquesta persona física.
En ambdós casos, l'RGPD utilitza aquests conceptes durant el text. La pseudonimització es considera fonamentalment una mesura de seguretat en el tractament de dades personals, però els considerants 26, 28 i 29 es refereixen també al fet que usar-la pot ajudar els responsables a complir les seves obligacions.
És important destacar que l'RGPD considera explícitament que les dades pseudonimitzades són dades personals i que, per tant, estan subjectes a les seves disposicions.
La noció de perfilat s'utilitza també en l'RGPD en relació amb el dret d'oposició, el dret a no ser objecte de decisions automatitzades i la informació que ha de proporcionar-se als interessats. Encara que es tracta d'un concepte antic, ha adquirit una rellevància enorme en la mesura en què els tractaments basats en l'elaboració de perfils cada vegada són més nombrosos i tenen majors efectes sobre els ciutadans. Per esmentar-ne només alguns exemples, podria parlar-se de la publicitat conductual (basada en perfils de navegació en línia), els perfils de solvència creditícia, o els perfils que poden fer-se amb l'ús de tecnologies de dades massives o anàlisi massiva d'informació.
L'RGPD inclou també definicions de les dues noves categories de dades sensibles que afegeix a la llista de la Directiva del 95: dades genètiques i dades biomètriques.
Dades genètiques
Dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física que proporcionin una informació única sobre la fisiologia o la salut d'aquesta persona, obtingudes en particular de l'anàlisi d'una mostra biològica d'aquesta persona.
Les dades genètiques ja tenien la consideració de dades especialment protegides en el marc de la Directiva, però només com a part de les dades relacionades amb la salut. L'RGPD les separa com a categoria amb entitat pròpia, al marge de la seva implicació en el terreny de la salut, amb la qual cosa estén la protecció especial a tractaments relacionats, per exemple, amb la filiació.
Dades biomètriques
Dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física que permetin o confirmin la identificació única d'aquesta persona, com imatges facials o dades dactiloscòpiques.
Respecte a aquesta definició, cal assenyalar que les dades biomètriques tindran la condició de dades sensibles només quan siguin utilitzades per identificar unívocament una persona. Una fotografia, per exemple, conté dades biomètriques, però el seu tractament no està sotmès a condicions especials llevat que s'utilitzi per individualitzar o identificar algú dins un col·lectiu més ampli.
També cal indicar que la noció de dada biomètrica és molt àmplia i inclou aspectes cada vegada més innovadors. Aspectes com l'empremta de l'orella, el patró venós d'una mà o la manera de caminar d'una persona es consideren dades biomètriques en la mesura en què permeten identificar una persona.
És també novetat la definició de violació de seguretat de les dades personals. Aquest concepte fa al·lusió a incidents relacionats amb la seguretat de les dades objecte de tractament i inclou qualsevol fet que «ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra forma, o la comunicació o accés no autoritzats a aquestes dades».