Quando qualcuno presenta una richiesta di accesso ai dati (DSAR), esercita il proprio diritto legale di accedere, modificare o controllare i dati personali in possesso di un'azienda.
I volumi di DSAR inviati tramite Termly mostrano quanto sia stato forte l'aumento: Le richieste CCPA sono cresciute del 246% tra il 2021 e il 2024, mentre le richiesteGDPR sono aumentate del 222% nello stesso periodo.
Con l'introduzione di nuove leggi statali sulla privacy e la crescente consapevolezza degli utenti, si può affermare che le DSAR non sono più rare o facoltative per le aziende.
In questo articolo, analizzo i cinque tipi più comuni di DSAR che è probabile ricevere e condivido i passi pratici da seguire per gestirli senza problemi.
I tipi più comuni di DSAR
Sebbene le leggi sulla privacy differiscano per l'esatta formulazione e le linee guida, ci sono cinque diritti comuni alla privacy che i consumatori di solito presentano nelle DSAR per ottenere un seguito, come evidenziato dal dataset di Termlydi quasi 60.000 richieste.
Di seguito, illustro ogni tipologia, i motivi per cui è importante e il modo in cui la vostra azienda dovrebbe rispondere.
1. "Ditemi quali dati avete" (Richiesta di sapere)
Percentuale di tutte le richieste: 43.9% (Termly)
Le richieste più comuni sono quelle di chiarire quali informazioni personali sono state raccolte da un'azienda su un individuo, perché sono state raccolte e/o con chi sono state condivise.
Questo diritto è al centro di quasi tutte le leggi sulla privacy, compresi il CCPA e il GDPR, che considerano la trasparenza come il fondamento della protezione dei dati.
Perché gli utenti fanno questa richiesta
Molte persone non sono sicure di ciò che le aziende tracciano effettivamente, quindi questa richiesta è spesso il primo passo per creare fiducia.
Alcuni utenti effettuano richieste di accesso prima di decidere se cancellare i propri dati.
Come devono reagire le aziende
Per gestire efficacemente le richieste di accesso, le aziende devono concentrarsi sulla chiarezza, sull'accuratezza e sul fornire le informazioni in modo semplice.
- Mantenere un inventario dettagliato dei dati e una mappa dei luoghi in cui sono conservati i dati personali.
- Fornite risposte chiare e scritte in un linguaggio semplice, non in legalese.
- Condividere categorie, finalità e divulgazioni da parte di terzi e fornire le informazioni in modo sicuro entro i tempi richiesti.
2. "Cancellare i miei dati" (richiesta di cancellazione)
Percentuale di tutte le richieste: 17.7% (Termly)
Seconde solo alle richieste di conoscenza, le richieste di cancellazione consentono agli utenti di chiedere la rimozione delle proprie informazioni personali.
In base al GDPR, questo è noto come "diritto all'oblio" e, in base al CCPA, le aziende devono rispettare la cancellazione a meno che non si applichi un'esenzione.
Perché gli utenti fanno questa richiesta
Le persone possono richiedere la cancellazione per qualsiasi motivo.
Alcuni esempi possono essere l'interruzione dell'utilizzo di un servizio, l'insoddisfazione per l'uso dei dati o la semplice volontà di ridurre la propria impronta digitale.
Come devono reagire le aziende
Quando si risponde alle richieste di cancellazione, la chiave è trovare un equilibrio tra i requisiti legali di conservazione e il diritto dell'utente a vedere rimosse le proprie informazioni.
- Verificate se avete una base legale per conservare i dati (ad esempio, obblighi di conformità).
- Creare flussi di lavoro che rimuovano le informazioni da tutti i sistemi, non solo dal database principale.
- Confermare sempre all'utente una volta completata l'eliminazione.
3. "Non vendete o condividete i miei dati" (richieste di opt-out)
Percentuale di tutte le richieste: 12.3% (Termly)
Queste richieste di opt-out mirano principalmente a impedire alle aziende di vendere o condividere i dati personali, in particolare per scopi pubblicitari o di profilazione.
Il CPRA ha ampliato i diritti di opt-out della California per includere la pubblicità comportamentale cross-context, consentendo agli utenti di impedire che i loro dati vengano utilizzati per creare profili mirati.
Perché gli utenti fanno questa richiesta
Gli utenti attenti alla privacy potrebbero non volere che i loro dati vengano utilizzati per alimentare annunci pubblicitari mirati, e le nuove leggi statali offrono loro più controllo che mai.
Come devono reagire le aziende
Le richieste di opt-out richiedono processi chiari per garantire che le scelte degli utenti siano rispettate in modo coerente in tutti i sistemi e partner.
- Mostrate un chiaro link "Non vendete o condividete i miei dati personali" sul vostro sito web.
- Assicurarsi che gli opt-out siano rispettati in tutti gli strumenti e le reti pubblicitarie.
- Integrate le preferenze di opt-out con la vostra gestione del consenso platform in modo che si applichino automaticamente.
4. "Inviami i miei dati" (richiesta di portabilità)
Percentuale di tutte le richieste: 12.3% (Termly)
Conosciuto anche come diritto alla portabilità dei dati, queste richieste richiedono di fornire agli utenti una copia dei loro dati personali in un formato che possano utilizzare altrove.
Il GDPR ha reso popolare questo diritto, ma ora si riflette anche in diverse leggi statali statunitensi.
Perché gli utenti fanno questa richiesta
La portabilità dei dati significa offrire agli utenti flessibilità e controllo.
Alcune persone possono fare questa richiesta per mantenere un archivio personale, mentre altre possono voler trasferire più facilmente le loro informazioni a un concorrente o a un nuovo servizio.
Come devono reagire le aziende
Le richieste di portabilità richiedono metodi di consegna sicuri e strutturati che diano agli utenti il controllo sulle loro informazioni senza esporle a rischi.
- Fornire i dati in un formato comunemente utilizzato e leggibile, come ad esempio CSV.
- Consegnarlo in modo sicuro, con una crittografia appropriata e solo dopo aver verificato l'identità del richiedente.
- Conservate le registrazioni di ciò che è stato condiviso, nel caso in cui sorgano domande in seguito.
5. "Ho una richiesta speciale" (specificare il commento)
Percentuale di tutte le richieste: 6.4% (Termly)
I moduli DSAR spesso includono un campo di testo libero per i commenti.
Pur non essendo una categoria formale di diritti, questo spazio consente agli utenti di chiarire la propria richiesta, di combinare più diritti o di sollevare questioni particolari.
Perché gli utenti fanno questa richiesta
Potrebbero volere una ricerca più ristretta (ad esempio, "mostrami solo ciò che hai raccolto nell'ultimo anno"), oppure potrebbero segnalare un problema che non si adatta perfettamente ai diritti esistenti.
Come devono reagire le aziende
Poiché le richieste basate sui commenti spesso non rientrano in categorie legali rigide, il miglior approccio di risposta è la flessibilità e la comunicazione aperta.
- Leggete attentamente questi commenti; spesso forniscono un contesto che fa risparmiare tempo.
- Se non è chiaro, contattate il richiedente per avere chiarimenti prima di procedere.
- Anche se il commento non crea un nuovo obbligo legale, una risposta rispettosa contribuisce a creare fiducia.
Cosa sono le DSAR?
Una DSAR è una richiesta formale da parte di un individuo di agire in base ai propri diritti sulla privacy. Anche se i diritti esatti variano a seconda della legge, le DSAR generalmente consentono alle persone di:
- accedere ai propri dati personali e capire come vengono utilizzati
- Cancellare le proprie informazioni se non si vuole più che l'azienda le conservi
- Correggere i dati imprecisi o non aggiornati
- Limitare o rinunciare ad alcuni tipi di trattamento, come la pubblicità mirata.
- Ricevere una copia dei propri dati in un formato portatile
In breve, le DSAR offrono agli individui un maggiore controllo sulla propria impronta digitale e responsabilizzano le aziende sul modo in cui gestiscono le informazioni personali.
Il panorama DSAR in crescita
Gli ultimi anni hanno chiarito una cosa: l'attività DSAR non sta rallentando, ma sta accelerando.
Tra le nuove leggi sulla privacy, la crescente consapevolezza dei consumatori e l'applicazione più rigorosa delle norme, le aziende stanno ricevendo più richieste che mai. Ecco cosa mostrano i numeri:
I volumi di DSAR sono in aumento.
Le richieste di CCPA presentate tramite Termly sono cresciute del 246% tra il 2021 e il 2024, quasi raddoppiando solo dal 2023 al 2024.
Le richieste di GDPR sono aumentate del 222% nello stesso periodo, a testimonianza di una crescente consapevolezza globale dei diritti dei dati.
Nel primo trimestre del 2025, i siti che utilizzano Termly hanno già registrato un numero di richieste superiore a qualsiasi altro trimestre precedente, segnalando un altro anno di crescita.
Le nuove leggi statali sono alla base di nuove attività.
Le normative di Colorado, Connecticut, Utah e Virginia hanno introdotto ulteriori categorie di DSAR, dal diritto alla correzione dei dati a nuovi opt-out per le informazioni personali sensibili.
Il coinvolgimento degli utenti è più alto che mai.
Secondo Statista, il 36% degli utenti di Internet in tutto il mondo eserciterà i propri diritti DSAR nel 2024, rispetto al 24% del 2022.
L'insieme di questi cambiamenti indica che le DSAR non solo stanno aumentando di numero, ma stanno anche diventando più complesse e consequenziali.
Per le aziende, la sfida non è solo rispondere alle richieste, ma farlo in modo rapido, coerente e tale da rafforzare la fiducia degli utenti.
Perché le aziende devono essere preparate
L'aumento delle attività DSAR non è solo una tendenza. Sta creando vere e proprie sfide operative, finanziarie e di reputazione per le aziende.
Le organizzazioni che non hanno un processo chiaro rischiano di rimanere indietro in diverse aree chiave.
Sforzo operativo
Il numero medio di DSAR per sito web che utilizza Termly è passato da 19,4 nel 2021 a 61,0 nel 2024. Ciò significa che anche le piccole e medie imprese stanno ricevendo più richieste al mese.
Ogni richiesta può comportare la verifica dell'identità, la ricerca di dati su più piattaforme e un attento esame di ciò che può essere legalmente condiviso o cancellato.
Per le aziende che si affidano a più strumenti o che archiviano i dati dei clienti in varie sedi, il carico di lavoro può accumularsi rapidamente.
Aumento dei reclami
Gli utenti sono sempre più attenti al modo in cui vengono gestiti i loro dati e non esitano a ribellarsi se un'azienda è lenta nel rispondere o poco chiara nella comunicazione.
Anche se un'azienda alla fine soddisfa una richiesta, un processo maldestro può comunque portare a utenti frustrati e a feedback negativi.
Secondo EY Law, il 51% delle aziende ha riferito di aver ricevuto reclami sul modo in cui ha gestito i DSAR.
Questi reclami non solo prosciugano le risorse, ma possono anche erodere la fiducia dei clienti e, se lasciati irrisolti, potrebbero portare a un'escalation verso le autorità di regolamentazione.
Rischio normativo
Le autorità di regolamentazione stanno prestando attenzione. L'Information Commissioner's Office del Regno Unito, ad esempio, ha registrato un aumento del 15% dei reclami relativi alle DSAR tra il 2023 e il 2024.
Ai sensi del GDPR, non rispondere correttamente a un DSAR è considerato una violazione dei diritti dell'interessato e tali violazioni rientrano nel livello di sanzione più elevato.
Ciò significa che le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale di un'azienda, a seconda di quale sia il valore più alto.
Prepararsi per le DSAR non significa controllare una casella di conformità, ma costruire processi sostenibili che riducano i rischi e rafforzino le relazioni con gli utenti.
Le aziende che investono ora nella preparazione al DSAR saranno meglio equipaggiate per gestire la crescente complessità delle richieste negli anni a venire.
Come Termly vi aiuta a gestire le DSAR
Conoscere i tipi di richieste che riceverete è solo metà dell'opera. La vera sfida consiste nel gestirle in modo efficiente, coerente e in linea con le leggi applicabili alla vostra azienda.
È qui che entra in gioco la soluzione DSAR di Termly.
Con Termly è possibile:
- Create un modulo DSAR in pochi minuti: Configurate un modulo incorporabile o utilizzate un link Termly per consentire agli utenti di inviare facilmente le loro richieste.
- Rendetelo accessibile ovunque: Aggiungete il modulo direttamente al vostro sito web o alla vostra app, in modo che gli utenti sappiano sempre come raggiungervi.
- Ricevere notifiche automatiche: Ricevere avvisi via e-mail nel momento in cui qualcuno invia un DSAR, in modo da non perdere nulla.
- Soddisfare i requisiti CCPA/CPRA: Utilizzate link predefiniti come "Non vendere o condividere le mie informazioni personali" e "Limita l'uso delle mie informazioni personali sensibili" direttamente dalla vostra dashboard Termly .
- Adeguamento alle leggi globali con un'unica soluzione: Che siate coperti dal GDPR, dal CCPA/CPRA, dal VCDPA, dall'UCPA o da altri quadri normativi, Termly vi aiuta a rimanere allineati con i requisiti DSAR a livello mondiale.
La nostra soluzione DSAR è progettata per le piccole e medie imprese che non hanno il tempo o le risorse per sviluppare da zero i flussi di lavoro per la conformità.
Invece di dover fare i salti mortali quando arrivano le richieste, Termly aiuta a fornire un processo semplificato che fa risparmiare tempo, riduce i rischi e dimostra agli utenti che prendete sul serio la loro privacy.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
