Questo documento contiene le risposte alle domande frequenti sulle normative sulla privacy legali supportate e sulla loro implementazione in Adobe Experience Cloud.
Le definizioni per i vari termini utilizzati in questo documento sono disponibili nella guida privacy Regulation terminology.
Le seguenti domande riguardano tutte le norme sulla privacy supportate dal Experience Cloud.
Le norme sulla privacy supportate dal Experience Cloud si applicano a tutte le organizzazioni che memorizzano ed elaborano i dati personali dei cittadini all'interno delle rispettive giurisdizioni, indipendentemente dalla posizione geografica dell'organizzazione.
Per dati personali si intendono tutte le informazioni relative a una persona fisica o a un soggetto che possono essere utilizzate per identificare direttamente o indirettamente la persona. Può trattarsi di un nome, una foto, un indirizzo e-mail, dati bancari, post su siti di social networking, informazioni mediche o un indirizzo IP del computer.
I seguenti identificatori sono comunemente utilizzati nelle applicazioni Experience Cloud e potrebbero essere soggetti ai requisiti di privacy Regulation:
Le informazioni personali possono anche includere informazioni su Internet o altre informazioni sulle attività della rete elettronica. Ciò include, ma non solo:
Anche se le norme sulla privacy riguardano un'ampia serie di informazioni personali, condizioni contrattuali standard del Adobe stabiliscono che le informazioni personali riservate (come SSN, informazioni sulla patente di guida, informazioni finanziarie e dati biometrici) sono generalmente vietate dall'importazione e dall'uso in applicazioni Experience Cloud.
Un titolare del trattamento dei dati è l'entità che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento dei dati è un'entità che tratta i dati personali per conto del titolare del trattamento.
Un titolare del trattamento dei dati è la persona o l'organizzazione che ha il potere e la responsabilità di prendere decisioni in merito alla raccolta, all'uso o alla divulgazione di dati personali. Un elaboratore dati è la persona o l'organizzazione che opera in relazione alla raccolta, all'uso o alla divulgazione dei dati personali e alla direzione del titolare del trattamento.
Il consenso esplicito si riferisce a uno standard di consenso che comporta un'indicazione specifica, informata e univoca dei desideri dell'interessato in forma orale o scritta. In parole povere, l'interessato deve dire letteralmente ed esplicitamente "io consenso" o "io sono d'accordo" affinché il consenso sia considerato esplicito. Inoltre, il consenso deve essere revocato con la stessa facilità con cui viene dato.
Il consenso esplicito (implicito) si riferisce al consenso che non è stato dato esplicitamente dall’interessato, ma che è comunque privo di ambiguità. Ad esempio, durante il processo di registrazione per un sito Web aziendale, viene segnalato che fornendo un indirizzo e-mail, l'interessato accetta di ricevere e-mail su offerte speciali. Se l'interessato legge l'avviso, l'azione affermativa di immettere l'e-mail è sufficiente per essere considerato un consenso non ambiguo.
Per molti regolamenti come il GDPR, è necessario un consenso esplicito per il trattamento di dati personali sensibili, dove non basterà nient'altro che l'"opt in". Per i dati non sensibili, tuttavia, il consenso esplicito (implicito) è accettabile.
Molte norme sulla privacy stabiliscono che, se un soggetto è al di sotto di una certa età, non può fornire legalmente il consenso per la raccolta dei propri dati personali. Alcuni regolamenti prevedono che il titolare della responsabilità genitoriale per l'interessato dia il proprio consenso in questi casi, ma non tutti. La tabella seguente elenca l'età minima entro la quale gli interessati possono fornire il proprio consenso per ogni regolamento, con note per ulteriori informazioni:
regolamento | Età del consenso | Note |
---|---|---|
CCPA (California) | 16 |
|
GDPR (Unione europea) | 16 |
|
LGPD (Brasile) | 13 |
|
PDPA (Thailandia) | 10 |
|
Presupponendo che l'azienda abbia raccolto informazioni personali e che possa autenticare o verificare l'identità di un particolare consumatore, le norme sulla privacy consentono il rispetto di una specifica finestra temporale per la richiesta di un consumatore. La tabella seguente riassume i tempi previsti per ciascun regolamento, con alcune eccezioni:
regolamento | Finestra Conformità | Note |
---|---|---|
CCPA (California) | 45 giorni | |
GDPR (Unione europea) | 30 giorni | Se la richiesta è complessa, o sono state effettuate numerose richieste dallo stesso soggetto, la richiesta può essere estesa a 60 giorni. |
LGPD (Brasile) | 15 giorni | |
PDPA (Thailandia) | 30 giorni | Se un'azienda non è in grado di rispondere alla richiesta di un soggetto dati entro la finestra di conformità, l'azienda avrà 30 giorni aggiuntivi dalla data in cui non è stata in grado di soddisfare la richiesta di rispondere per iscritto all'interessato. |
Se le operazioni relative ai dati della tua organizzazione rientrano nella giurisdizione legale del GDPR, LGPD o PDPA, devi nominare un responsabile della protezione dei dati (DPO) nei seguenti casi:
A differenza di altri regolamenti, l'CCPA lo stabilisce come requisito. Tuttavia, si raccomanda generalmente che, per mantenere la conformità alla privacy, un'azienda abbia una specifica attività di monitoraggio e di raccolta dei dati dei consumatori, oltre a rispondere alle richieste dei clienti.
Una volta che avete adottato le misure necessarie per autenticare i consumatori che rientrano nelle giurisdizioni legali appropriate, Adobe Experience Platform Privacy Service vi consente di inviare le richieste di privacy dei consumatori ad applicazioni Experience Cloud compatibili. Per ulteriori informazioni, vedere la Privacy Service panoramica. Per informazioni su come le applicazioni Experience Cloud possono soddisfare le richieste di privacy, fare riferimento alla guida in applicazioni di Privacy Service e di Experience Cloud.
Ulteriori indicazioni da parte dell'autorità di regolamentazione californiana sono ancora disponibili in merito a quali tipi di dati sono ammissibili per le richieste di privacy dei consumatori.
Le seguenti domande riguardano specificamente l'APP.
Come definito da CCPA, i seguenti ruoli si applicano al Adobe e ai suoi clienti:
In qualità di fornitore di servizi, Adobe raccoglie ed elabora informazioni personali per conto dell'Azienda ed è contrattualmente vincolato a utilizzare tali informazioni solo per gli scopi specifici stabiliti nel contratto.
Considerata tale relazione e Adobe lingua contrattuale, le informazioni al Adobe probabilmente non sarebbero considerate una "vendita" per la quale le imprese dovrebbero fornire un avviso e chiedere il consenso.
Tuttavia, servizi Adobi possono essere utilizzati per consentire la condivisione e il trasferimento di dati a terzi. Tali trasferimenti di terzi potrebbero essere considerati una "vendita" e richiedere legalmente la divulgazione e il consenso. I clienti devono collaborare con il proprio consulente legale per valutare casi di utilizzo specifici al fine di valutare i requisiti applicabili.
Le applicazioni Adobe Experience Cloud forniscono funzioni di gestione e governance dei dati utili per le esigenze di privacy delle aziende. Tra questi strumenti figurano l’etichettatura dell’utilizzo dei dati, i controlli di accesso basati su ruoli, l’offuscamento IP e le funzionalità di hashing.
Adobe ha ricevuto diverse certificazioni sulle proprie pratiche di privacy e sicurezza, come una certificazione ISO 27001 e una convalida del TrustArc GDPR.
Le seguenti domande riguardano in particolare il GDPR.
Un regolamento è un atto legislativo vincolante e deve essere applicato integralmente in tutta l'UE. Una direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'UE devono raggiungere, ma spetta ai singoli paesi decidere come.
È importante notare che il GDPR è un regolamento, a differenza della precedente legislazione (la direttiva sulla protezione dei dati), che è una direttiva.
Le proposte di regolamento relative alle violazioni dei dati riguardano principalmente le politiche di notifica delle imprese che sono state violate. Le violazioni dei dati che possono costituire un rischio per le persone fisiche devono essere notificate all'autorità preposta alla protezione dei dati entro 72 ore e alle persone interessate senza indebito ritardo.
Le seguenti domande riguardano specificamente il PDPA.
Il PDPA fornisce requisiti rigorosi per la raccolta e la memorizzazione di dati personali sensibili, che comprendono dati personali relativi a: origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, casellari giudiziari, appartenenze sindacali, dati genetici, dati biometrici, cartelle cliniche, orientamento o preferenze sessuali.