“Información personal indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (‘Interessato’); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale. “
Dentro del ecosistema de mensajería corporativa, los datos personales significan cualquier cosa que se dirija o identifique de manera única al sujeto de los datos (el consumidor), que incluye:
- Números de MSISDN e IMSI, utilizados para identificar un teléfono móvil, un operador y un número de consumidor.
- Dirección de correo electrónico
- Dirección OTT (por ejemplo, nombre de usuario o la dirección de Skype o Facebook de un usuario)
- Dirección IP (que identifica cualquier dispositivo que utilice el protocolo de Internet para comunicarse)
- Una combinación de metadatos de comunicación, p. Ej. hora de un mensaje combinado con el remitente de un mensaje (como un banco) que podría identificar de forma única a una persona
Tuttavia, oltre a ciò, il GDPR copre i dati personali che potrebbero essere contenuti in un messaggio, tra cui:
- El nombre de un usuario
- Números de cuenta bancaria y tarjeta de crédito
- Números de licencia de conducir y registro del automóvil
- Seguro nacional u otros números de identificación
- Números de póliza y referencias de reserva
- Una combinación de elementos identificativos, p. Ej. características físicas, lugar, ocupación, etc.
El RGPD también define datos confidenciales, que requieren protecciones seguras adicionales y autorización explícita para ser almacenados:
- Origen racial o étnico, creencias religiosas o filosóficas y puntos de vista políticos
- Vida sexual, salud y datos genéticos
- Información biométrica
- Antecedentes penales
Según el GDPR, la recopilación y el procesamiento de datos personales deben tener "fines específicos, explícitos y legítimos" y tener una base legal. Un controlador de datos o procesador de datos debe tener al menos uno de los fundamentos legales que se enumeran a continuación para tener derecho a almacenar y procesar datos personales.
Qual è la base legale per i fornitori di CPaaS procesar y archivar datos de mensajes?
I fornitori di CPaaS nella loro qualità di Responsabili del trattamento dei dati o Sub-Processor, non richiedono il consenso dell’interessato per archiviare ed elaborare i propri Dati personali.
I fornitori di CPaaS in genere hanno due motivi per l’elaborazione legittima: hanno una base legale, perché devono adempiere al contratto con il Titolare per archiviare ed elaborare i messaggi inviati dal Titolare. Hanno anche l’obbligo legale di conformarsi alla legislazione sulle telecomunicazioni, che richiede l’archiviazione dei registri delle comunicazioni per un periodo.
Este período difiere de un país a otro, pero debe considerarse como una base legal para almacenar algunos datos. Las razones legales para almacenar y procesar datos personales son:
- Consentimiento: el interesado ha prestado libremente su consentimiento para el almacenamiento y tratamiento de información para una finalidad determinada.
- L’esecuzione di un contratto – la ragione più probabile per cui gli aggregatori di messaggistica e i fornitori di CPaaS memorizzeranno i dati personali
- Obligaciones legales: comunes en comunicaciones como escuchas telefónicas legales e investigación criminal
- Para proteger los intereses vitales de una persona, p. Ej. un hospital que intenta salvar la vida de una persona
- È nell’interesse pubblico / compiti pubblici – ad es. riscossione delle imposte, passaporto, elaborazione della patente di guida
- Intereses legítimos, p. Ej. prevención de fraude o verificación de crédito
