“Dados pessoais significa qualquer informação relativa a uma pessoa física identificada ou identificável ('Titular dos Dados'); uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um número de identificação ou a um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social.
Dentro do ecossistema de mensagens corporativas, dados pessoais significam qualquer coisa que aborde ou identifique exclusivamente o titular dos dados (o consumidor), incluindo:
- Números MSISDN e IMSI, usados para identificar um número de telefone celular, operadora e consumidor
- Endereço de e-mail
- Endereço OTT (por exemplo, nome de usuário ou endereço Skype ou Facebook de um usuário)
- Endereço IP (que identifica qualquer dispositivo que use o protocolo da Internet para comunicação)
- Uma combinação de metadados de comunicação, por exemplo, hora de uma mensagem combinada com o remetente de uma mensagem (como um banco) que poderia identificar exclusivamente um indivíduo
No entanto, além disso, o GDPR abrange dados pessoais que podem estar contidos em uma mensagem, incluindo:
- O nome de um usuário
- Números de conta bancária e cartão de crédito
- Carteira de motorista e números de registro do carro
- Seguro nacional ou outros números de identificação
- Números da apólice e referências de reserva
- Uma combinação de elementos de identificação, e. características físicas, lugar, ocupação, etc.
O GDPR também define Dados Confidenciais, que exigem proteções seguras adicionais e autorização explícita para serem armazenados:
- Origem racial ou étnica, crenças religiosas ou filosóficas e opiniões políticas
- Vida sexual, saúde e dados genéticos
- Dados biométricos
- Registro criminal
De acordo com o GDPR, a coleta e o processamento de dados pessoais devem ser para "fins específicos, explícitos e legítimos" e ter uma base legal. Um Controlador de Dados ou Processador de Dados deve ter pelo menos um dos fundamentos legais listados abaixo para ter o direito de armazenar e processar dados pessoais.
Qual é a base legal para os provedores de CPaaS processar e arquivar dados de mensagens?
Os provedores de CPaaS, atuando como processadores ou subprocessadores de dados, não exigem o consentimento do titular dos dados para armazenar e processar seus Dados Pessoais.
Os provedores de CPaaS normalmente têm dois fundamentos legítimos para o processamento: eles têm uma base legal, pois devem cumprir o contrato com o Controlador de Dados para armazenar e processar as mensagens enviadas por este. Eles também têm a obrigação legal de cumprir a legislação de telecomunicações, que exige a retenção de registros de comunicações por um período específico.
Este período difere de país para país, mas deve ser considerado uma base legal para o armazenamento de alguns dados. As razões legais para armazenar e processar dados pessoais são:
- Consentimento: o interessado deu livremente o seu consentimento para o armazenamento e tratamento da informação para um fim específico
- Execução de um contrato – o motivo mais provável pelo qual os agregadores de mensagens e os provedores de CPaaS armazenarão dados pessoais
- Obrigações legais - comuns em comunicações como escutas telefônicas legais e legislação de investigação criminal
- Para proteger os interesses vitais de uma pessoa, por exemplo, um hospital tentando salvar a vida de um indivíduo
- É do interesse público / tarefas públicas – por exemplo, cobrança de impostos, passaporte, processamento de carteira de habilitação
- Interesses legítimos - ex. prevenção de fraudes ou verificações de crédito
