“Dati personali indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (‘Interessato’); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale. “
All’interno dell’ecosistema di messaggistica aziendale, i dati personali indicano qualsiasi cosa che indirizzi o identifichi in modo univoco l’interessato (il consumatore), tra cui:
- Numeri MSISDN e IMSI, utilizzati per identificare un numero di telefono cellulare, operatore e consumatore
- Indirizzo email
- Indirizzo OTT (ad es. Nome utente o indirizzo Skype o Facebook di un utente)
- Indirizzo IP (che identifica qualsiasi dispositivo che utilizza il protocollo Internet per la comunicazione)
- Una combinazione di metadati di comunicazione, ad es. ora di un messaggio combinata con il mittente di un messaggio (ad esempio una banca) che potrebbe identificare in modo univoco un individuo
Tuttavia, oltre a ciò, il GDPR copre i dati personali che potrebbero essere contenuti in un messaggio, tra cui:
- Il nome di un utente
- Conto bancario e numeri di carta di credito
- Numeri di patente di guida e di immatricolazione dell’auto
- Assicurazione nazionale o altri numeri ID
- Numeri di polizza e riferimenti di prenotazione
- Una combinazione di elementi di identificazione, ad es. caratteristiche fisiche, luogo, occupazione ecc.
Il GDPR definisce anche i Dati sensibili, che richiedono ulteriori protezioni sicure e un’autorizzazione esplicita per essere memorizzati:
- Origine razziale o etnica, credenze religiose o filosofiche e opinioni politiche
- Vita sessuale, salute e dati genetici
- Dati biometrici
- Casellario giudiziario
Ai sensi del GDPR, la raccolta e il trattamento dei dati personali deve essere per “scopi specifici, espliciti e legittimi” e avere una base legale. Un Titolare o Responsabile del trattamento dei dati deve disporre di almeno uno dei motivi legali elencati di seguito per avere il diritto di archiviare ed elaborare i dati personali.
Qual è la base legale per i fornitori di CPaaS per elaborare e archiviare i dati dei messaggi?
I fornitori di CPaaS nella loro qualità di Responsabili del trattamento dei dati o Sub-Processor, non richiedono il consenso dell’interessato per archiviare ed elaborare i propri Dati personali.
I fornitori di CPaaS in genere hanno due motivi per l’elaborazione legittima: hanno una base legale, perché devono adempiere al contratto con il Titolare per archiviare ed elaborare i messaggi inviati dal Titolare. Hanno anche l’obbligo legale di conformarsi alla legislazione sulle telecomunicazioni, che richiede l’archiviazione dei registri delle comunicazioni per un periodo.
Questo periodo differisce da paese a paese, ma dovrebbe essere considerato come una base legale per la memorizzazione di alcuni dati. Le ragioni legali per archiviare ed elaborare i dati personali sono:
- Consenso: l’interessato ha dato il proprio consenso liberamente alla conservazione e al trattamento delle informazioni per uno scopo specifico
- L’esecuzione di un contratto – la ragione più probabile per cui gli aggregatori di messaggistica e i fornitori di CPaaS memorizzeranno i dati personali
- Obblighi legali – comuni nelle comunicazioni come la legislazione sulle intercettazioni legali e le indagini penali
- Per proteggere gli interessi vitali di una persona, ad es. un ospedale che cerca di salvare la vita di un individuo
- È nell’interesse pubblico / compiti pubblici – ad es. riscossione delle imposte, passaporto, elaborazione della patente di guida
- Interessi legittimi – ad es. prevenzione delle frodi o controlli del credito