Questo documento fornisce le risposte alle domande più frequenti sulle normative legali sulla privacy supportate e sulla loro implementazione in Adobe Experience Cloud.
Le definizioni dei vari termini utilizzati in questo documento si trovano nella guida terminologia delle normative sulla privacy.
Le seguenti domande riguardano tutte le normative sulla privacy supportate dall'Experience Cloud.
Le normative sulla privacy supportate dall'Experience Cloud si applicano a tutte le organizzazioni che memorizzano ed elaborano i dati personali dei cittadini all'interno delle rispettive giurisdizioni, indipendentemente dalla posizione geografica dell'organizzazione.
Per dati personali si intendono tutte le informazioni relative a una persona fisica o a una persona interessata che possono essere utilizzate per identificare direttamente o indirettamente la persona. Può essere qualsiasi cosa da un nome, una foto, un indirizzo e-mail, dettagli bancari, post su siti di social networking, informazioni mediche o un indirizzo IP del computer.
I seguenti identificatori sono comunemente utilizzati nelle applicazioni di Experience Cloud e potrebbero essere soggetti ai requisiti della normativa sulla privacy:
Le informazioni personali possono includere anche informazioni su Internet o altre informazioni di attività della rete elettronica. Ciò include, tra l'altro:
Sebbene le normative sulla privacy coprano un’ampia serie di informazioni personali, le condizioni contrattuali standard dell’Adobe stabiliscono che le informazioni personali sensibili (come SSN, le informazioni sulla patente di guida, le informazioni finanziarie sul conto finanziario e i dati biometrici) sono generalmente vietate dall’importazione e dall’uso nelle applicazioni di Experience Cloud.
Un titolare del trattamento è l'entità che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è un'entità che tratta i dati personali per conto del titolare del trattamento.
Un titolare del trattamento è la persona o l'organizzazione che ha il potere e la responsabilità di prendere decisioni in merito alla raccolta, all'utilizzo o alla divulgazione dei dati personali. Un responsabile del trattamento dei dati è la persona o l'organizzazione che opera in relazione alla raccolta, all'uso o alla divulgazione dei dati personali e alla direzione del titolare del trattamento.
Il consenso esplicito si riferisce a uno standard di consenso che comporta un’indicazione specifica, informata e inequivocabile della volontà della persona interessata in forma orale o scritta. In parole povere, la persona interessata deve dire letteralmente ed esplicitamente "Io acconsento" o "Io sono d'accordo" affinché il consenso sia considerato esplicito. Inoltre, il ritiro del consenso deve essere altrettanto semplice di quello che lo è.
Il consenso esplicito (implicito) si riferisce al consenso che non è stato esplicitamente fornito dalla persona interessata, ma che è comunque di natura inequivocabile. Ad esempio, durante il processo di registrazione per un sito web aziendale, viene comunicato che, fornendo un indirizzo e-mail, l’interessato acconsente a ricevere e-mail su offerte speciali. Se l’interessato legge l’avviso, l’azione positiva di inserire l’e-mail è sufficiente per essere considerato un consenso non ambiguo.
Per molti regolamenti come il RGPD, è necessario un consenso esplicito per il trattamento dei dati personali sensibili, dove basta solo il "consenso". Per i dati non sensibili, tuttavia, il consenso esplicito (implicito) è accettabile.
Molte normative sulla privacy stabiliscono che se una persona interessata è al di sotto di una certa età, non può fornire legalmente il consenso per la raccolta dei propri dati personali. Alcuni regolamenti consentono il consenso del titolare della responsabilità genitoriale per la persona interessata in questi casi, ma non tutti. La tabella seguente elenca l'età minima per le persone interessate per fornire il proprio consenso per ogni regolamento, con note per ulteriori informazioni:
Regolamento | Età del consenso | Note |
---|---|---|
CCPA (California) | 16 |
|
RGPD (Unione europea) | 16 |
|
LGPD (Brasile) | 13 |
|
PDPA (Thailandia) | 10 |
|
Presupponendo che l'azienda abbia raccolto informazioni personali e possa autenticare o verificare l'identità di un particolare consumatore, le normative sulla privacy consentono di rispettare un intervallo di tempo specifico per una richiesta del consumatore. La tabella seguente riassume i periodi di tempo applicabili per ciascun regolamento, con note su alcune eccezioni:
Regolamento | Finestra di conformità | Note |
---|---|---|
CCPA (California) | 45 giorni | |
RGPD (Unione europea) | 30 giorni | Se la richiesta è complessa o se numerose richieste sono state effettuate dalla stessa persona interessata, la richiesta può essere estesa a 60 giorni. |
LGPD (Brasile) | 15 giorni | |
PDPA (Thailandia) | 30 giorni | Se un'azienda non è in grado di rispondere alla richiesta dell'interessato entro il periodo di conformità, l'azienda avrà un ulteriore periodo di 30 giorni dalla data in cui non è stata in grado di soddisfare la richiesta di risposta scritta all'interessato. |
Se le operazioni relative ai dati della tua organizzazione rientrano nelle giurisdizioni legali del RGPD, LGPD o PDPA, devi nominare un responsabile della protezione dei dati (DPO) nei seguenti casi:
A differenza di altri regolamenti, il CCPA lo definisce come un requisito. Tuttavia, si raccomanda generalmente che, per mantenere la conformità alla privacy, un'azienda debba disporre di attività di monitoraggio individuale qualificate per la raccolta dei dati e l'archiviazione dei dati dei consumatori, nonché rispondere alle richieste dei clienti.
Una volta effettuati i passaggi necessari per autenticare i consumatori che rientrano nelle giurisdizioni legali appropriate, Adobe Experience Platform Privacy Service ti consente di inviare le richieste sulla privacy dei consumatori ad applicazioni Experience Cloud compatibili. Per ulteriori informazioni, consulta la sezione Privacy Service panoramica . Per informazioni su come le applicazioni Experience Cloud in uso possono soddisfare le richieste di accesso a dati personali, consulta la guida sulle applicazioni Privacy Service e Experience Cloud.
Sono ancora disponibili ulteriori orientamenti da parte dell'autorità di regolamentazione della California in merito a quali tipi di dati sono idonei per le richieste sulla privacy dei consumatori.
Le seguenti domande riguardano specificamente il CCPA.
Come definito dal CCPA, i seguenti ruoli si applicano ad Adobe e ai suoi clienti:
In qualità di fornitore di servizi, Adobe raccoglie ed elabora le informazioni personali per conto dell'Azienda ed è contrattualmente obbligato ad utilizzare tali informazioni solo per gli scopi specifici stabiliti nel contratto.
Considerata questa relazione e il linguaggio contrattuale Adobe, le informazioni all'Adobe probabilmente non sarebbero considerate una "vendita" per la quale le imprese dovrebbero fornire un avviso e richiedere il consenso.
Tuttavia, i servizi di Adobe possono essere utilizzati per consentire la condivisione e il trasferimento di determinati dati a terzi. Tali trasferimenti di terzi potrebbero essere considerati una "vendita" e richiedono legalmente la divulgazione e il consenso. I clienti devono collaborare con il proprio consulente legale per valutare casi d’uso specifici al fine di valutare i requisiti applicabili.
Le applicazioni Adobe Experience Cloud forniscono funzioni di gestione e governance dei dati che possono essere utili per le esigenze di privacy delle aziende. Tra questi strumenti ci sono l’etichettatura dell’utilizzo dei dati, i controlli dell’accesso basati su ruolo, l’offuscamento dell’IP e le funzionalità di hashing.
Adobe ha ricevuto diverse certificazioni sulle sue pratiche di privacy e sicurezza, come una certificazione ISO 27001 e una convalida RGPD TrustArc.
Le seguenti domande riguardano specificamente il RGPD.
Un regolamento è un atto legislativo vincolante e deve essere applicato nella sua interezza in tutta l'UE. Un direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'UE devono raggiungere, ma spetta ai singoli paesi decidere come.
È importante notare che il RGPD è un regolamento, a differenza della precedente legislazione (la direttiva sulla protezione dei dati), che è una direttiva.
Le proposte di regolamento relative alle violazioni dei dati riguardano principalmente le politiche di notifica delle imprese che sono state violate. Le violazioni dei dati che possono comportare rischi per le persone fisiche devono essere notificate all'autorità preposta alla protezione dei dati entro 72 ore e alle persone interessate senza indebito ritardo.
Le seguenti domande riguardano specificamente il PDPA.
Il PDPA prevede requisiti rigorosi per la raccolta e la conservazione di dati personali sensibili, compresi i dati personali relativi a: origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, casellari giudiziari, appartenenze sindacali, dati genetici, dati biometrici, cartelle cliniche e orientamento o preferenze sessuali.