“Données personnelles indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (‘Interessato’); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale. “
Dans l'écosystème de messagerie professionnelle, les données personnelles désignent tout ce qui adresse ou identifie de manière unique la personne concernée (le consommateur), notamment :
- Numéros MSISDN et IMSI, utilisés pour identifier un numéro de téléphone mobile, un opérateur et un consommateur
- Adresse e-mail
- Adresse OTT (par exemple, le nom d'utilisateur ou l'adresse Skype ou Facebook d'un utilisateur)
- Adresse IP (qui identifie tout appareil utilisant le protocole Internet pour la communication)
- Une combinaison de métadonnées de communication, par ex. heure d'un message combinée avec l'expéditeur d'un message (par exemple une banque) qui pourrait identifier de manière unique un individu
Tuttavia, oltre a ciò, il GDPR copre i dati personali che potrebbero essere contenuti in un messaggio, tra cui:
- Le nom d'un utilisateur
- Numéros de compte bancaire et de carte de crédit
- Numéros de permis de conduire et d’immatriculation du véhicule
- Numéros d'assurance nationale ou autres numéros d'identification
- Numéros de police et références de réservation
- Une combinaison d'éléments d'identification, par ex. caractéristiques physiques, emplacement, profession, etc.
Le RGPD définit également les données sensibles, dont le stockage nécessite des protections sécurisées supplémentaires et une autorisation explicite :
- Origine raciale ou ethnique, croyances religieuses ou philosophiques et opinions politiques
- Vie sexuelle, santé et données génétiques
- Données biométriques
- Dossier criminel
En vertu du RGPD, la collecte et le traitement des données personnelles doivent être destinés à des « finalités spécifiques, explicites et légitimes » et reposer sur une base légale. Un responsable du traitement ou un sous-traitant doit disposer d'au moins un des fondements juridiques énumérés ci-dessous pour avoir le droit de stocker et de traiter des données personnelles.
Qual è la base legale per i fornitori di CPaaS traiter et stocker les données des messages ?
I fornitori di CPaaS nella loro qualità di Responsabili del trattamento dei dati o Sub-Processor, non richiedono il consenso dell’interessato per archiviare ed elaborare i propri Dati personali.
I fornitori di CPaaS in genere hanno due motivi per l’elaborazione legittima: hanno una base legale, perché devono adempiere al contratto con il Titolare per archiviare ed elaborare i messaggi inviati dal Titolare. Hanno anche l’obbligo legale di conformarsi alla legislazione sulle telecomunicazioni, che richiede l’archiviazione dei registri delle comunicazioni per un periodo.
Cette période diffère d'un pays à l'autre, mais doit être considérée comme une base légale pour le stockage de certaines données. Les raisons juridiques du stockage et du traitement des données personnelles sont :
- Consentement : l'intéressé a librement donné son consentement au stockage et au traitement des informations dans un but déterminé
- L’esecuzione di un contratto – la ragione più probabile per cui gli aggregatori di messaggistica e i fornitori di CPaaS memorizzeranno i dati personali
- Obligations légales – courantes dans les communications telles que la législation sur l’interception licite et les enquêtes criminelles
- Pour protéger les intérêts vitaux d'une personne, par ex. un hôpital essayant de sauver la vie d'un individu
- È nell’interesse pubblico / compiti pubblici – ad es. riscossione delle imposte, passaporto, elaborazione della patente di guida
- Intérêts légitimes – par ex. prévention de la fraude ou vérifications de crédit