“Dados pessoais indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (‘Interessato’); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale. “
Dentro do ecossistema de mensagens corporativas, dados pessoais significam qualquer coisa que aborde ou identifique exclusivamente o titular dos dados (o consumidor), incluindo:
- Números MSISDN e IMSI, usados para identificar um número de telefone celular, operadora e consumidor
- Endereço de e-mail
- Endereço OTT (por exemplo, nome de usuário ou endereço Skype ou Facebook de um usuário)
- Endereço IP (que identifica qualquer dispositivo que use o protocolo da Internet para comunicação)
- Uma combinação de metadados de comunicação, por exemplo, hora de uma mensagem combinada com o remetente de uma mensagem (como um banco) que poderia identificar exclusivamente um indivíduo
Tuttavia, oltre a ciò, il GDPR copre i dati personali che potrebbero essere contenuti in un messaggio, tra cui:
- O nome de um usuário
- Números de conta bancária e cartão de crédito
- Carteira de motorista e números de registro do carro
- Seguro nacional ou outros números de identificação
- Números da apólice e referências de reserva
- Uma combinação de elementos de identificação, e. características físicas, lugar, ocupação, etc.
O GDPR também define Dados Confidenciais, que exigem proteções seguras adicionais e autorização explícita para serem armazenados:
- Origem racial ou étnica, crenças religiosas ou filosóficas e opiniões políticas
- Vida sexual, saúde e dados genéticos
- Dados biométricos
- Registro criminal
De acordo com o GDPR, a coleta e o processamento de dados pessoais devem ser para "fins específicos, explícitos e legítimos" e ter uma base legal. Um Controlador de Dados ou Processador de Dados deve ter pelo menos um dos fundamentos legais listados abaixo para ter o direito de armazenar e processar dados pessoais.
Qual è la base legale per i fornitori di CPaaS processar e arquivar dados de mensagens?
I fornitori di CPaaS nella loro qualità di Responsabili del trattamento dei dati o Sub-Processor, non richiedono il consenso dell’interessato per archiviare ed elaborare i propri Dati personali.
I fornitori di CPaaS in genere hanno due motivi per l’elaborazione legittima: hanno una base legale, perché devono adempiere al contratto con il Titolare per archiviare ed elaborare i messaggi inviati dal Titolare. Hanno anche l’obbligo legale di conformarsi alla legislazione sulle telecomunicazioni, che richiede l’archiviazione dei registri delle comunicazioni per un periodo.
Este período difere de país para país, mas deve ser considerado uma base legal para o armazenamento de alguns dados. As razões legais para armazenar e processar dados pessoais são:
- Consentimento: o interessado deu livremente o seu consentimento para o armazenamento e tratamento da informação para um fim específico
- L’esecuzione di un contratto – la ragione più probabile per cui gli aggregatori di messaggistica e i fornitori di CPaaS memorizzeranno i dati personali
- Obrigações legais - comuns em comunicações como escutas telefônicas legais e legislação de investigação criminal
- Para proteger os interesses vitais de uma pessoa, por exemplo, um hospital tentando salvar a vida de um indivíduo
- È nell’interesse pubblico / compiti pubblici – ad es. riscossione delle imposte, passaporto, elaborazione della patente di guida
- Interesses legítimos - ex. prevenção de fraudes ou verificações de crédito
