«Terzo» è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia una di queste figure: l’interessato, il titolare del trattamento, il responsabile del trattamento, le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
La cessione dei dati personali a terzi, cioè il trasferimento di interi database ad altri soggetti, è un tipo di trattamento che comporta chiari rischi per gli interessati. E’ pertanto indispensabile che la società cedente informi gli interessati e acquisisca da essi uno specifico consenso alla cessione dei da loro dati personali.
Tale consenso deve essere separato dagli altri, con l’indicazione chiara delle categorie (economiche o merceologiche, es. finanza, editoria) dei soggetti cui vengono ceduti i dati. La società acquirente dovrà, a sua volta, rilasciare agli interessati l’informativa sulla privacy prima di trattare i dati (ad es., per inviare comunicazioni commerciali). In questa informativa dovrà essere precisata anche l’origine dei dati, in modo che gli interessati possano rivolgersi anche alla società cedente per esercitare i loro diritti.