Il trattamento di un dato corrisponde ad una serie di operazioni che vengono eseguite sul dato stesso: trattare può voler dire raccogliere, registrare, organizzare il dato o la serie di dati a disposizione; al tempo stesso trattamento è conservazione del dato, è la sua modifica, la sua consultazione e la sua comunicazione/trasmissione ad altri soggetti.
Trattamento è anche cancellazione e distruzione del dato.

Il Codice privacy definisce il trattamento come “qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati” (art. 4, lett. a).

Il regolamento UE, a sua volta, seppur in modo più ampio e completo, definisce il trattamento come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.” (art. 4 n. 2).