"Información personal significa cualquier información relacionada con una persona física identificada o identificable ('Sujeto de datos'); una persona identificable es una persona que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación oa uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social. "
Dentro del ecosistema de mensajería corporativa, los datos personales significan cualquier cosa que se dirija o identifique de manera única al sujeto de los datos (el consumidor), que incluye:
- Números de MSISDN e IMSI, utilizados para identificar un teléfono móvil, un operador y un número de consumidor.
- Dirección de correo electrónico
- Dirección OTT (por ejemplo, nombre de usuario o la dirección de Skype o Facebook de un usuario)
- Dirección IP (que identifica cualquier dispositivo que utilice el protocolo de Internet para comunicarse)
- Una combinación de metadatos de comunicación, p. Ej. hora de un mensaje combinado con el remitente de un mensaje (como un banco) que podría identificar de forma única a una persona
Sin embargo, más allá de eso, el GDPR cubre los datos personales que pueden estar contenidos en un mensaje, que incluyen:
- El nombre de un usuario
- Números de cuenta bancaria y tarjeta de crédito
- Números de licencia de conducir y registro del automóvil
- Seguro nacional u otros números de identificación
- Números de póliza y referencias de reserva
- Una combinación de elementos identificativos, p. Ej. características físicas, lugar, ocupación, etc.
El RGPD también define datos confidenciales, que requieren protecciones seguras adicionales y autorización explícita para ser almacenados:
- Origen racial o étnico, creencias religiosas o filosóficas y puntos de vista políticos
- Vida sexual, salud y datos genéticos
- Información biométrica
- Antecedentes penales
Según el GDPR, la recopilación y el procesamiento de datos personales deben tener "fines específicos, explícitos y legítimos" y tener una base legal. Un controlador de datos o procesador de datos debe tener al menos uno de los fundamentos legales que se enumeran a continuación para tener derecho a almacenar y procesar datos personales.
¿Cuál es la base legal para los proveedores de CPaaS procesar y archivar datos de mensajes?
Los proveedores de CPaaS en su calidad de Encargados o Subprocesadores, no requieren el consentimiento del interesado para almacenar y procesar sus Datos Personales.
Los proveedores de CPaaS generalmente tienen dos razones para el procesamiento legítimo: tienen una base legal, porque deben cumplir con el contrato con el Controlador para almacenar y procesar los mensajes enviados por el Controlador. También tienen la obligación legal de cumplir con la legislación de telecomunicaciones, que requiere el archivo de registros de comunicaciones durante un período.
Este período difiere de un país a otro, pero debe considerarse como una base legal para almacenar algunos datos. Las razones legales para almacenar y procesar datos personales son:
- Consentimiento: el interesado ha prestado libremente su consentimiento para el almacenamiento y tratamiento de información para una finalidad determinada.
- Ejecución de un contrato: la razón más probable por la que los agregadores de mensajería y los proveedores de CPaaS almacenarán datos personales.
- Obligaciones legales: comunes en comunicaciones como escuchas telefónicas legales e investigación criminal
- Para proteger los intereses vitales de una persona, p. Ej. un hospital que intenta salvar la vida de una persona
- Es de interés público / tareas públicas, por ejemplo. recaudación de impuestos, pasaporte, tramitación de la licencia de conducir
- Intereses legítimos, p. Ej. prevención de fraude o verificación de crédito