Domande frequenti sulle normative sulla privacy

Questo documento fornisce le risposte alle domande più frequenti sulle normative legali sulla privacy supportate e sulla loro implementazione in Adobe Experience Cloud.

NOTA

Le definizioni dei vari termini utilizzati in questo documento si trovano nella guida terminologia delle normative sulla privacy.

Domande generali

Le seguenti domande riguardano tutte le normative sulla privacy supportate dall'Experience Cloud.

Quali sono gli effetti delle normative sulla privacy supportate?

Le normative sulla privacy supportate dall'Experience Cloud si applicano a tutte le organizzazioni che memorizzano ed elaborano i dati personali dei cittadini all'interno delle rispettive giurisdizioni, indipendentemente dalla posizione geografica dell'organizzazione.

Cosa si intende per dati personali?

Per dati personali si intendono tutte le informazioni relative a una persona fisica o a una persona interessata che possono essere utilizzate per identificare direttamente o indirettamente la persona. Può essere qualsiasi cosa da un nome, una foto, un indirizzo e-mail, dettagli bancari, post su siti di social networking, informazioni mediche o un indirizzo IP del computer.

I seguenti identificatori sono comunemente utilizzati nelle applicazioni di Experience Cloud e potrebbero essere soggetti ai requisiti della normativa sulla privacy:

  • Nome
  • Indirizzo postale
  • Identificatore personale univoco
  • Identificatore online
  • Indirizzo IP
  • Indirizzo e-mail
  • Nome account

Le informazioni personali possono includere anche informazioni su Internet o altre informazioni di attività della rete elettronica. Ciò include, tra l'altro:

  • Cronologia esplorazioni
  • Cronologia ricerche
  • Informazioni relative all'interazione di un consumatore con un sito web, un'applicazione o un annuncio

Sebbene le normative sulla privacy coprano un’ampia serie di informazioni personali, le condizioni contrattuali standard dell’Adobe stabiliscono che le informazioni personali sensibili (come SSN, le informazioni sulla patente di guida, le informazioni finanziarie sul conto finanziario e i dati biometrici) sono generalmente vietate dall’importazione e dall’uso nelle applicazioni di Experience Cloud.

Qual è la differenza tra un titolare del trattamento e un responsabile del trattamento dei dati?

Un titolare del trattamento è l'entità che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è un'entità che tratta i dati personali per conto del titolare del trattamento.

Un titolare del trattamento è la persona o l'organizzazione che ha il potere e la responsabilità di prendere decisioni in merito alla raccolta, all'utilizzo o alla divulgazione dei dati personali. Un responsabile del trattamento dei dati è la persona o l'organizzazione che opera in relazione alla raccolta, all'uso o alla divulgazione dei dati personali e alla direzione del titolare del trattamento.

Qual è la differenza tra il consenso esplicito e non ambiguo delle persone interessate?

Il consenso esplicito si riferisce a uno standard di consenso che comporta un’indicazione specifica, informata e inequivocabile della volontà della persona interessata in forma orale o scritta. In parole povere, la persona interessata deve dire letteralmente ed esplicitamente "Io acconsento" o "Io sono d'accordo" affinché il consenso sia considerato esplicito. Inoltre, il ritiro del consenso deve essere altrettanto semplice di quello che lo è.

Il consenso esplicito (implicito) si riferisce al consenso che non è stato esplicitamente fornito dalla persona interessata, ma che è comunque di natura inequivocabile. Ad esempio, durante il processo di registrazione per un sito web aziendale, viene comunicato che, fornendo un indirizzo e-mail, l’interessato acconsente a ricevere e-mail su offerte speciali. Se l’interessato legge l’avviso, l’azione positiva di inserire l’e-mail è sufficiente per essere considerato un consenso non ambiguo.

Per molti regolamenti come il RGPD, è necessario un consenso esplicito per il trattamento dei dati personali sensibili, dove basta solo il "consenso". Per i dati non sensibili, tuttavia, il consenso esplicito (implicito) è accettabile.

I soggetti interessati sotto una certa età possono dare il loro consenso?

Molte normative sulla privacy stabiliscono che se una persona interessata è al di sotto di una certa età, non può fornire legalmente il consenso per la raccolta dei propri dati personali. Alcuni regolamenti consentono il consenso del titolare della responsabilità genitoriale per la persona interessata in questi casi, ma non tutti. La tabella seguente elenca l'età minima per le persone interessate per fornire il proprio consenso per ogni regolamento, con note per ulteriori informazioni:

Regolamento Età del consenso Note
CCPA (California) 16
  • Il consenso dei genitori può essere fornito solo per i soggetti di età uguale o superiore a 13 anni.
  • La raccolta di dati personali da soggetti di età inferiore ai 13 anni è severamente vietata.
RGPD (Unione europea) 16
  • A tal fine, alcuni Stati membri dell'UE possono prevedere una legge per un'età INFERIORE, MA non INFERIORE A 13 ANNI.
  • Il consenso dei genitori deve essere fornito per tutte le persone interessate al di sotto del limite di età.
LGPD (Brasile) 13
  • Il consenso dei genitori deve essere fornito per tutte le persone interessate al di sotto del limite di età.
  • Il consenso può essere concesso da una persona fisica di età compresa tra i 13 e i 18 anni, a condizione che il trattamento dei loro dati personali sia trattato nel loro interesse superiore.
PDPA (Thailandia) 10
  • Il consenso dei genitori deve essere fornito per tutte le persone interessate al di sotto del limite di età.

Quanti giorni un'azienda deve rispondere a una richiesta del consumatore per accedere o cancellare informazioni personali?

Presupponendo che l'azienda abbia raccolto informazioni personali e possa autenticare o verificare l'identità di un particolare consumatore, le normative sulla privacy consentono di rispettare un intervallo di tempo specifico per una richiesta del consumatore. La tabella seguente riassume i periodi di tempo applicabili per ciascun regolamento, con note su alcune eccezioni:

Regolamento Finestra di conformità Note
CCPA (California) 45 giorni
RGPD (Unione europea) 30 giorni Se la richiesta è complessa o se numerose richieste sono state effettuate dalla stessa persona interessata, la richiesta può essere estesa a 60 giorni.
LGPD (Brasile) 15 giorni
PDPA (Thailandia) 30 giorni Se un'azienda non è in grado di rispondere alla richiesta dell'interessato entro il periodo di conformità, l'azienda avrà un ulteriore periodo di 30 giorni dalla data in cui non è stata in grado di soddisfare la richiesta di risposta scritta all'interessato.

La mia azienda deve nominare un responsabile della protezione dei dati?

Se le operazioni relative ai dati della tua organizzazione rientrano nelle giurisdizioni legali del RGPD, LGPD o PDPA, devi nominare un responsabile della protezione dei dati (DPO) nei seguenti casi:

  • La tua organizzazione è un'autorità pubblica
  • La tua organizzazione effettua un monitoraggio sistematico su larga scala
  • La tua organizzazione si impegna in un trattamento su larga scala di dati personali sensibili.
IMPORTANTE

A differenza di altri regolamenti, il CCPA lo definisce come un requisito. Tuttavia, si raccomanda generalmente che, per mantenere la conformità alla privacy, un'azienda debba disporre di attività di monitoraggio individuale qualificate per la raccolta dei dati e l'archiviazione dei dati dei consumatori, nonché rispondere alle richieste dei clienti.

Come posso supportare le richieste sulla privacy dei consumatori se mantengo i dati coperti dalle normative sulla privacy?

Una volta effettuati i passaggi necessari per autenticare i consumatori che rientrano nelle giurisdizioni legali appropriate, Adobe Experience Platform Privacy Service ti consente di inviare le richieste sulla privacy dei consumatori ad applicazioni Experience Cloud compatibili. Per ulteriori informazioni, consulta la sezione Privacy Service panoramica . Per informazioni su come le applicazioni Experience Cloud in uso possono soddisfare le richieste di accesso a dati personali, consulta la guida sulle applicazioni Privacy Service e Experience Cloud.

NOTA

Sono ancora disponibili ulteriori orientamenti da parte dell'autorità di regolamentazione della California in merito a quali tipi di dati sono idonei per le richieste sulla privacy dei consumatori.

Domande CCPA

Le seguenti domande riguardano specificamente il CCPA.

Come si applicano ad Experience Cloud i diversi ruoli e responsabilità del CCPA?

Come definito dal CCPA, i seguenti ruoli si applicano ad Adobe e ai suoi clienti:

  • I clienti di Adobe (la parte che richiede la raccolta e l'uso di informazioni personali da parte dei residenti della California) saranno considerati come Azienda.
  • L'Adobe, nel suo ruolo di fornitore del servizio, sarebbe considerato un fornitore di servizi.

In qualità di fornitore di servizi, Adobe raccoglie ed elabora le informazioni personali per conto dell'Azienda ed è contrattualmente obbligato ad utilizzare tali informazioni solo per gli scopi specifici stabiliti nel contratto.

Considerata questa relazione e il linguaggio contrattuale Adobe, le informazioni all'Adobe probabilmente non sarebbero considerate una "vendita" per la quale le imprese dovrebbero fornire un avviso e richiedere il consenso.

Tuttavia, i servizi di Adobe possono essere utilizzati per consentire la condivisione e il trasferimento di determinati dati a terzi. Tali trasferimenti di terzi potrebbero essere considerati una "vendita" e richiedono legalmente la divulgazione e il consenso. I clienti devono collaborare con il proprio consulente legale per valutare casi d’uso specifici al fine di valutare i requisiti applicabili.

L’Adobe offre altri strumenti utili per soddisfare i requisiti CCPA?

Le applicazioni Adobe Experience Cloud forniscono funzioni di gestione e governance dei dati che possono essere utili per le esigenze di privacy delle aziende. Tra questi strumenti ci sono l’etichettatura dell’utilizzo dei dati, i controlli dell’accesso basati su ruolo, l’offuscamento dell’IP e le funzionalità di hashing.

Adobe ha ricevuto diverse certificazioni sulle sue pratiche di privacy e sicurezza, come una certificazione ISO 27001 e una convalida RGPD TrustArc.

Domande sul RGPD

Le seguenti domande riguardano specificamente il RGPD.

Qual è la differenza tra un regolamento e una direttiva?

Un regolamento è un atto legislativo vincolante e deve essere applicato nella sua interezza in tutta l'UE. Un direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'UE devono raggiungere, ma spetta ai singoli paesi decidere come.

È importante notare che il RGPD è un regolamento, a differenza della precedente legislazione (la direttiva sulla protezione dei dati), che è una direttiva.

In che modo il RGPD influisce sulla politica relativa alle violazioni dei dati?

Le proposte di regolamento relative alle violazioni dei dati riguardano principalmente le politiche di notifica delle imprese che sono state violate. Le violazioni dei dati che possono comportare rischi per le persone fisiche devono essere notificate all'autorità preposta alla protezione dei dati entro 72 ore e alle persone interessate senza indebito ritardo.

Domande sul PDPA

Le seguenti domande riguardano specificamente il PDPA.

Cosa costituisce un dato personale sensibile?

Il PDPA prevede requisiti rigorosi per la raccolta e la conservazione di dati personali sensibili, compresi i dati personali relativi a: origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, casellari giudiziari, appartenenze sindacali, dati genetici, dati biometrici, cartelle cliniche e orientamento o preferenze sessuali.

In questa pagina