"Información personal significa cualquier información relativa a una persona física identificada o identificable (el interesado); se considerará persona identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o mediante uno o varios elementos propios de su identidad física, fisiológica, psíquica, económica, cultural o social.
Dentro del ecosistema de mensajería corporativa, los datos personales significan cualquier cosa que se dirija o identifique de manera única al sujeto de los datos (el consumidor), que incluye:
- Números de MSISDN e IMSI, utilizados para identificar un teléfono móvil, un operador y un número de consumidor.
- Dirección de correo electrónico
- Dirección OTT (por ejemplo, nombre de usuario o la dirección de Skype o Facebook de un usuario)
- Dirección IP (que identifica cualquier dispositivo que utilice el protocolo de Internet para comunicarse)
- Una combinación de metadatos de comunicación, p. Ej. hora de un mensaje combinado con el remitente de un mensaje (como un banco) que podría identificar de forma única a una persona
Sin embargo, más allá de eso, el RGPD cubre los datos personales que pueden estar contenidos en un mensaje, incluidos:
- El nombre de un usuario
- Números de cuenta bancaria y tarjeta de crédito
- Números de licencia de conducir y registro del automóvil
- Seguro nacional u otros números de identificación
- Números de póliza y referencias de reserva
- Una combinación de elementos identificativos, p. Ej. características físicas, lugar, ocupación, etc.
El RGPD también define datos confidenciales, que requieren protecciones seguras adicionales y autorización explícita para ser almacenados:
- Origen racial o étnico, creencias religiosas o filosóficas y puntos de vista políticos
- Vida sexual, salud y datos genéticos
- Información biométrica
- Antecedentes penales
Según el GDPR, la recopilación y el procesamiento de datos personales deben tener "fines específicos, explícitos y legítimos" y tener una base legal. Un controlador de datos o procesador de datos debe tener al menos uno de los fundamentos legales que se enumeran a continuación para tener derecho a almacenar y procesar datos personales.
¿Cuál es la base legal para los proveedores de CPaaS procesar y archivar datos de mensajes?
Los proveedores de CPaaS, que actúan como procesadores o subprocesadores de datos, no requieren el consentimiento del titular de los datos para almacenar y procesar sus Datos Personales.
Los proveedores de CPaaS suelen tener dos fundamentos legítimos para el tratamiento: una base legal, ya que deben cumplir el contrato con el responsable del tratamiento para almacenar y procesar los mensajes enviados por este; y la obligación legal de cumplir con la legislación en materia de telecomunicaciones, que exige la conservación de los registros de comunicaciones durante un periodo determinado.
Este período difiere de un país a otro, pero debe considerarse como una base legal para almacenar algunos datos. Las razones legales para almacenar y procesar datos personales son:
- Consentimiento: el interesado ha prestado libremente su consentimiento para el almacenamiento y tratamiento de información para una finalidad determinada.
- Ejecución de un contrato: la razón más probable por la que los agregadores de mensajería y los proveedores de CPaaS almacenarán datos personales
- Obligaciones legales: comunes en comunicaciones como escuchas telefónicas legales e investigación criminal
- Para proteger los intereses vitales de una persona, p. Ej. un hospital que intenta salvar la vida de una persona
- Es de interés público/tareas públicas, por ejemplo, recaudación de impuestos, trámite de pasaportes y licencias de conducir.
- Intereses legítimos, p. Ej. prevención de fraude o verificación de crédito