“Personal data indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (‘Interessato’); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale. “
Within the corporate messaging ecosystem, personal data means anything that uniquely addresses or identifies the data subject (the consumer), including:
- MSISDN and IMSI numbers, used to identify a mobile phone, operator and consumer number
- Email address
- OTT address (e.g. username or a user's Skype or Facebook address)
- IP address (which identifies any device that uses the Internet protocol for communication)
- A combination of communication metadata, e.g. time of a message combined with the sender of a message (such as a bank) that could uniquely identify an individual
Tuttavia, oltre a ciò, il GDPR copre i dati personali che potrebbero essere contenuti in un messaggio, tra cui:
- The name of a user
- Bank account and credit card numbers
- Driver's license and car registration numbers
- National insurance or other ID numbers
- Policy numbers and booking references
- A combination of identifying elements, e.g. physical characteristics, place, occupation, etc.
The GDPR also defines Sensitive Data, which requires additional secure protections and explicit authorization to be stored:
- Racial or ethnic origin, religious or philosophical beliefs and political views
- Sex life, health and genetic data
- Biometric data
- Criminal record
Under the GDPR, the collection and processing of personal data must be for "specific, explicit and legitimate purposes" and have a legal basis. A Data Controller or Data Processor must have at least one of the legal grounds listed below to have the right to store and process personal data.
Qual è la base legale per i fornitori di CPaaS to process and archive message data?
I fornitori di CPaaS nella loro qualità di Responsabili del trattamento dei dati o Sub-Processor, non richiedono il consenso dell’interessato per archiviare ed elaborare i propri Dati personali.
I fornitori di CPaaS in genere hanno due motivi per l’elaborazione legittima: hanno una base legale, perché devono adempiere al contratto con il Titolare per archiviare ed elaborare i messaggi inviati dal Titolare. Hanno anche l’obbligo legale di conformarsi alla legislazione sulle telecomunicazioni, che richiede l’archiviazione dei registri delle comunicazioni per un periodo.
This period differs from country to country, but should be regarded as a legal basis for storing some data. The legal reasons for storing and processing personal data are:
- Consent: the interested party has freely given his consent to the storage and processing of information for a specific purpose
- L’esecuzione di un contratto – la ragione più probabile per cui gli aggregatori di messaggistica e i fornitori di CPaaS memorizzeranno i dati personali
- Legal obligations - common in communications such as lawful wiretapping and criminal investigation legislation
- To protect a person's vital interests, e.g. a hospital trying to save an individual's life
- È nell’interesse pubblico / compiti pubblici – ad es. riscossione delle imposte, passaporto, elaborazione della patente di guida
- Legitimate interests - eg. fraud prevention or credit checks
