Domande frequenti sulle normative sulla privacy

Questo documento contiene le risposte alle domande frequenti sulle normative sulla privacy legali supportate e sulla loro implementazione in Adobe Experience Cloud.

NOTA

Le definizioni per i vari termini utilizzati in questo documento sono disponibili nella guida privacy Regulation terminology.

Domande generali

Le seguenti domande riguardano tutte le norme sulla privacy supportate dal Experience Cloud.

Quali sono gli effetti delle normative sulla privacy supportate?

Le norme sulla privacy supportate dal Experience Cloud si applicano a tutte le organizzazioni che memorizzano ed elaborano i dati personali dei cittadini all'interno delle rispettive giurisdizioni, indipendentemente dalla posizione geografica dell'organizzazione.

Cosa si intende per dati personali?

Per dati personali si intendono tutte le informazioni relative a una persona fisica o a un soggetto che possono essere utilizzate per identificare direttamente o indirettamente la persona. Può trattarsi di un nome, una foto, un indirizzo e-mail, dati bancari, post su siti di social networking, informazioni mediche o un indirizzo IP del computer.

I seguenti identificatori sono comunemente utilizzati nelle applicazioni Experience Cloud e potrebbero essere soggetti ai requisiti di privacy Regulation:

  • Nome
  • Indirizzo postale
  • Identificatore personale univoco
  • Identificatore online
  • Indirizzo IP
  • Indirizzo e-mail
  • Nome account

Le informazioni personali possono anche includere informazioni su Internet o altre informazioni sulle attività della rete elettronica. Ciò include, ma non solo:

  • Cronologia esplorazioni
  • Cronologia ricerche
  • Informazioni relative all'interazione di un consumatore con un sito Web, un'applicazione o un annuncio pubblicitario

Anche se le norme sulla privacy riguardano un'ampia serie di informazioni personali, condizioni contrattuali standard del Adobe stabiliscono che le informazioni personali riservate (come SSN, informazioni sulla patente di guida, informazioni finanziarie e dati biometrici) sono generalmente vietate dall'importazione e dall'uso in applicazioni Experience Cloud.

Qual è la differenza tra un controller dati e un processore dati?

Un titolare del trattamento dei dati è l'entità che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento dei dati è un'entità che tratta i dati personali per conto del titolare del trattamento.

Un titolare del trattamento dei dati è la persona o l'organizzazione che ha il potere e la responsabilità di prendere decisioni in merito alla raccolta, all'uso o alla divulgazione di dati personali. Un elaboratore dati è la persona o l'organizzazione che opera in relazione alla raccolta, all'uso o alla divulgazione dei dati personali e alla direzione del titolare del trattamento.

Qual è la differenza tra il consenso esplicito e non ambiguo degli interessati?

Il consenso esplicito si riferisce a uno standard di consenso che comporta un'indicazione specifica, informata e univoca dei desideri dell'interessato in forma orale o scritta. In parole povere, l'interessato deve dire letteralmente ed esplicitamente "io consenso" o "io sono d'accordo" affinché il consenso sia considerato esplicito. Inoltre, il consenso deve essere revocato con la stessa facilità con cui viene dato.

Il consenso esplicito (implicito) si riferisce al consenso che non è stato dato esplicitamente dall’interessato, ma che è comunque privo di ambiguità. Ad esempio, durante il processo di registrazione per un sito Web aziendale, viene segnalato che fornendo un indirizzo e-mail, l'interessato accetta di ricevere e-mail su offerte speciali. Se l'interessato legge l'avviso, l'azione affermativa di immettere l'e-mail è sufficiente per essere considerato un consenso non ambiguo.

Per molti regolamenti come il GDPR, è necessario un consenso esplicito per il trattamento di dati personali sensibili, dove non basterà nient'altro che l'"opt in". Per i dati non sensibili, tuttavia, il consenso esplicito (implicito) è accettabile.

I soggetti con dati di età inferiore a quella stabilita possono dare il loro consenso?

Molte norme sulla privacy stabiliscono che, se un soggetto è al di sotto di una certa età, non può fornire legalmente il consenso per la raccolta dei propri dati personali. Alcuni regolamenti prevedono che il titolare della responsabilità genitoriale per l'interessato dia il proprio consenso in questi casi, ma non tutti. La tabella seguente elenca l'età minima entro la quale gli interessati possono fornire il proprio consenso per ogni regolamento, con note per ulteriori informazioni:

regolamento Età del consenso Note
CCPA (California) 16
  • Il consenso dei genitori può essere fornito solo per gli interessati di età non inferiore a 13 anni.
  • La raccolta di dati personali da soggetti di età inferiore ai 13 anni è severamente vietata.
GDPR (Unione europea) 16
  • Alcuni Stati membri dell'UE possono prevedere a tal fine una legge per un'età INFERIORE, MA NoN INFERIORE a 13 ANNI.
  • Il consenso dei genitori deve essere fornito per tutti gli interessati al di sotto del limite di età.
LGPD (Brasile) 13
  • Il consenso dei genitori deve essere fornito per tutti gli interessati al di sotto del limite di età.
  • Il consenso può essere concesso da una persona fisica di età compresa tra i 13 e i 18 anni, purché il trattamento dei dati personali sia soggetto nel loro interesse superiore.
PDPA (Thailandia) 10
  • Il consenso dei genitori deve essere fornito per tutti gli interessati al di sotto del limite di età.

Quanti giorni ha un'azienda per rispondere a una richiesta del consumatore di accedere o cancellare informazioni personali?

Presupponendo che l'azienda abbia raccolto informazioni personali e che possa autenticare o verificare l'identità di un particolare consumatore, le norme sulla privacy consentono il rispetto di una specifica finestra temporale per la richiesta di un consumatore. La tabella seguente riassume i tempi previsti per ciascun regolamento, con alcune eccezioni:

regolamento Finestra Conformità Note
CCPA (California) 45 giorni
GDPR (Unione europea) 30 giorni Se la richiesta è complessa, o sono state effettuate numerose richieste dallo stesso soggetto, la richiesta può essere estesa a 60 giorni.
LGPD (Brasile) 15 giorni
PDPA (Thailandia) 30 giorni Se un'azienda non è in grado di rispondere alla richiesta di un soggetto dati entro la finestra di conformità, l'azienda avrà 30 giorni aggiuntivi dalla data in cui non è stata in grado di soddisfare la richiesta di rispondere per iscritto all'interessato.

La mia azienda deve nominare un responsabile della protezione dei dati?

Se le operazioni relative ai dati della tua organizzazione rientrano nella giurisdizione legale del GDPR, LGPD o PDPA, devi nominare un responsabile della protezione dei dati (DPO) nei seguenti casi:

  • La vostra organizzazione è un'autorità pubblica
  • La vostra azienda effettua un monitoraggio sistematico su larga scala
  • La tua organizzazione si impegna nell'elaborazione su larga scala di dati personali sensibili.
IMPORTANTE

A differenza di altri regolamenti, l'CCPA lo stabilisce come requisito. Tuttavia, si raccomanda generalmente che, per mantenere la conformità alla privacy, un'azienda abbia una specifica attività di monitoraggio e di raccolta dei dati dei consumatori, oltre a rispondere alle richieste dei clienti.

Come posso supportare le richieste di privacy dei consumatori se mantengo i dati coperti dalle normative sulla privacy?

Una volta che avete adottato le misure necessarie per autenticare i consumatori che rientrano nelle giurisdizioni legali appropriate, Adobe Experience Platform Privacy Service vi consente di inviare le richieste di privacy dei consumatori ad applicazioni Experience Cloud compatibili. Per ulteriori informazioni, vedere la Privacy Service panoramica. Per informazioni su come le applicazioni Experience Cloud possono soddisfare le richieste di privacy, fare riferimento alla guida in applicazioni di Privacy Service e di Experience Cloud.

NOTA

Ulteriori indicazioni da parte dell'autorità di regolamentazione californiana sono ancora disponibili in merito a quali tipi di dati sono ammissibili per le richieste di privacy dei consumatori.

Domande CCPA

Le seguenti domande riguardano specificamente l'APP.

In che modo i diversi ruoli e responsabilità dell'APP si applicano al Experience Cloud ?

Come definito da CCPA, i seguenti ruoli si applicano al Adobe e ai suoi clienti:

  • clienti del Adobe (la parte che richiede la raccolta e l'uso di informazioni personali da residenti della California) sarebbe considerata un Business.
  • Adobe, nel suo ruolo di fornitore del servizio, sarebbe considerato un fornitore di servizi.

In qualità di fornitore di servizi, Adobe raccoglie ed elabora informazioni personali per conto dell'Azienda ed è contrattualmente vincolato a utilizzare tali informazioni solo per gli scopi specifici stabiliti nel contratto.

Considerata tale relazione e Adobe lingua contrattuale, le informazioni al Adobe probabilmente non sarebbero considerate una "vendita" per la quale le imprese dovrebbero fornire un avviso e chiedere il consenso.

Tuttavia, servizi Adobi possono essere utilizzati per consentire la condivisione e il trasferimento di dati a terzi. Tali trasferimenti di terzi potrebbero essere considerati una "vendita" e richiedere legalmente la divulgazione e il consenso. I clienti devono collaborare con il proprio consulente legale per valutare casi di utilizzo specifici al fine di valutare i requisiti applicabili.

Adobe offre altri strumenti utili per soddisfare i requisiti CCPA?

Le applicazioni Adobe Experience Cloud forniscono funzioni di gestione e governance dei dati utili per le esigenze di privacy delle aziende. Tra questi strumenti figurano l’etichettatura dell’utilizzo dei dati, i controlli di accesso basati su ruoli, l’offuscamento IP e le funzionalità di hashing.

Adobe ha ricevuto diverse certificazioni sulle proprie pratiche di privacy e sicurezza, come una certificazione ISO 27001 e una convalida del TrustArc GDPR.

Domande GDPR

Le seguenti domande riguardano in particolare il GDPR.

Qual è la differenza tra un regolamento e una direttiva?

Un regolamento è un atto legislativo vincolante e deve essere applicato integralmente in tutta l'UE. Una direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'UE devono raggiungere, ma spetta ai singoli paesi decidere come.

È importante notare che il GDPR è un regolamento, a differenza della precedente legislazione (la direttiva sulla protezione dei dati), che è una direttiva.

In che modo il GDPR influisce sulla politica relativa alle violazioni dei dati?

Le proposte di regolamento relative alle violazioni dei dati riguardano principalmente le politiche di notifica delle imprese che sono state violate. Le violazioni dei dati che possono costituire un rischio per le persone fisiche devono essere notificate all'autorità preposta alla protezione dei dati entro 72 ore e alle persone interessate senza indebito ritardo.

Domande sul PDPA

Le seguenti domande riguardano specificamente il PDPA.

Cosa si intende per dati personali sensibili?

Il PDPA fornisce requisiti rigorosi per la raccolta e la memorizzazione di dati personali sensibili, che comprendono dati personali relativi a: origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, casellari giudiziari, appartenenze sindacali, dati genetici, dati biometrici, cartelle cliniche, orientamento o preferenze sessuali.

In questa pagina