"Dados pessoais significa qualquer informação relativa a uma pessoa singular identificada ou identificável ('Titular dos Dados'); uma pessoa identificável é uma pessoa que pode ser identificada, direta ou indiretamente, em especial por referência a um número de identificação ou a um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social. "
Dentro do ecossistema de mensagens corporativas, dados pessoais significam qualquer coisa que aborde ou identifique exclusivamente o titular dos dados (o consumidor), incluindo:
- Números MSISDN e IMSI, usados para identificar um número de telefone celular, operadora e consumidor
- Endereço de e-mail
- Endereço OTT (por exemplo, nome de usuário ou endereço Skype ou Facebook de um usuário)
- Endereço IP (que identifica qualquer dispositivo que use o protocolo da Internet para comunicação)
- Uma combinação de metadados de comunicação, por exemplo, hora de uma mensagem combinada com o remetente de uma mensagem (como um banco) que poderia identificar exclusivamente um indivíduo
No entanto, além disso, o GDPR abrange dados pessoais que podem estar contidos em uma mensagem, incluindo:
- O nome de um usuário
- Números de conta bancária e cartão de crédito
- Carteira de motorista e números de registro do carro
- Seguro nacional ou outros números de identificação
- Números da apólice e referências de reserva
- Uma combinação de elementos de identificação, e. características físicas, lugar, ocupação, etc.
O GDPR também define Dados Confidenciais, que exigem proteções seguras adicionais e autorização explícita para serem armazenados:
- Origem racial ou étnica, crenças religiosas ou filosóficas e opiniões políticas
- Vida sexual, saúde e dados genéticos
- Dados biométricos
- Registro criminal
De acordo com o GDPR, a coleta e o processamento de dados pessoais devem ser para "fins específicos, explícitos e legítimos" e ter uma base legal. Um Controlador de Dados ou Processador de Dados deve ter pelo menos um dos fundamentos legais listados abaixo para ter o direito de armazenar e processar dados pessoais.
Qual é a base legal para fornecedores de CPaaS processar e arquivar dados de mensagens?
Os fornecedores de CPaaS, na qualidade de Processadores ou Subprocessadores de Dados, não necessitam do consentimento do interessado para armazenar e processar seus Dados Pessoais.
Os provedores de CPaaS geralmente têm dois motivos para o processamento legítimo: eles têm uma base legal, pois devem cumprir o contrato com o Controlador para armazenar e processar as mensagens enviadas pelo Controlador. Eles também têm a obrigação legal de cumprir a legislação de telecomunicações, que exige o arquivamento de logs de comunicação por um período.
Este período difere de país para país, mas deve ser considerado uma base legal para o armazenamento de alguns dados. As razões legais para armazenar e processar dados pessoais são:
- Consentimento: o interessado deu livremente o seu consentimento para o armazenamento e tratamento da informação para um fim específico
- Execução de um contrato - o motivo mais provável para que agregadores de mensagens e provedores de CPaaS armazenem dados pessoais
- Obrigações legais - comuns em comunicações como escutas telefônicas legais e legislação de investigação criminal
- Para proteger os interesses vitais de uma pessoa, por exemplo, um hospital tentando salvar a vida de um indivíduo
- É de interesse público / tarefas públicas - por exemplo. cobrança de impostos, passaporte, processamento de carta de condução
- Interesses legítimos - ex. prevenção de fraudes ou verificações de crédito
