Il modo in cui la tua azienda risponde a una richiesta di dati può dire molto sulla serietà con cui prendi la privacy. Una risposta chiara e ben gestita crea fiducia, mentre una risposta vaga o ritardata può frustrare gli utenti e aumentare i rischi di non conformità.
Con il continuo aumento del volume delle richieste DSAR (Data Subject Access Requests) previsto dalle principali leggi sulla privacy dei dati, come il GDPR il CCPA, una comunicazione tempestiva e trasparente non è più facoltativa.
In questo articolo spiego cosa sono le DSAR, condivido esempi di risposte corrette e scorrette per i tipi più comuni e spiego come Termly aiutarti a gestirle in modo efficiente.
Cosa sono le DSAR?
Una richiesta di accesso ai dati (DSAR) è quando qualcuno chiede alla tua azienda di accedere, modificare, cancellare o trasferire i dati personali che hai su di lui.
Queste richieste offrono alle persone un maggiore controllo sulle proprie informazioni e responsabilizzano le aziende in merito al modo in cui utilizzano tali informazioni.
Le DSAR sono richieste dalle principali leggi sulla privacy come ilRegolamento generale sulla protezione dei dati (GDPR), il California Consumer Privacy Act e altre leggi statali emergenti negli Stati Uniti. A seconda della legge, gli utenti possono avere il diritto di:
- Guarda quali dati hai raccolto su di loro
- Richiedi correzioni o cancellazioni
- Disattiva la condivisione dei dati o la pubblicità mirata
- Ricevi i loro dati in un formato portatile
Ogni richiesta merita un trattamento accurato, non solo per rispettare le scadenze legali, ma anche per mantenere la fiducia degli utenti. Man mano che sempre più utenti diventano consapevoli dei propri diritti alla privacy, le richieste DSAR stanno aumentando rapidamente in tutte le regioni.
Scopri di più sulle ultime tendenze e statistiche relative alle richieste di accesso ai dati personali ( DSAR).
Risposte DSAR positive vs negative
Anche quando le aziende seguono le stesse leggi sulla privacy, la qualità delle loro risposte può variare notevolmente. Alcune rendono il processo semplice, rispettoso e trasparente, mentre altre lasciano gli utenti confusi o ignorati.
Di seguito, analizziamo alcuni esempi di risposte DSAR corrette e scorrette per i tipi di richieste più comuni e spieghiamo cosa distingue una risposta efficace da una rischiosa.
1. "Dimmi quali dati hai" (richiesta di accesso)
Questo è il tipo più comune di DSAR che la piattaforma Termlyriceve.
Queste richieste, note anche come richieste di accesso, chiedono a un'azienda di condividere quali informazioni personali detiene su un utente, come vengono utilizzate e con chi vengono condivise.
Scenario reale
Lavori per un'azienda di e-commerce che vende articoli per la casa.
Un cliente ti invia un'e-mail chiedendoti:
"Puoi dirmi quali dati hai su di me e come vengono utilizzati?"
Esempio di risposta negativa
"Tutte le nostre pratiche relative ai dati sono illustrate nella nostra informativa sulla privacy. È possibile consultarla qui: [link]."
Questa risposta respinge la richiesta invece di affrontarla.
Indirizzare un utente a una politica sulla privacy non soddisfa una richiesta di accesso perché non conferma quali dati siano effettivamente memorizzati, come vengano trattati o se siano stati condivisi con altri.
Dà inoltre l'impressione che la tua azienda non disponga di un processo affidabile per il recupero e la presentazione dei dati personali.
Esempio di risposta positiva
"Grazie per averci contattato in merito ai tuoi dati. Abbiamo individuato il tuo account associato all'indirizzo e-mail [[email protected]]. In base alla tua attività, attualmente conserviamo il tuo nome, indirizzo e-mail, informazioni di spedizione e cronologia degli ordini.
Raccogliamo questi dati per elaborare gli acquisti, gestire il tuo account e inviare aggiornamenti sulla spedizione. Non vendiamo né condividiamo le tue informazioni con terze parti per scopi di marketing.
Se lo desideri, possiamo fornirti un'esportazione completa dei tuoi dati personali in un file scaricabile. Per motivi di sicurezza, ti preghiamo di confermare questo indirizzo e-mail prima di procedere.
Questa risposta è chiara, diretta e incentrata sull'utente.
Riconosce la richiesta, specifica quali informazioni sono conservate e spiega perché sono state raccolte.
Adotta inoltre le giuste misure di sicurezza chiedendo all'utente di confermare la propria identità prima di condividere ulteriori dati.
Da asporto
Una buona risposta alla richiesta di accesso fornisce chiarezza e rassicurazione. Dovrebbe identificare i dati in vostro possesso, descrivere come vengono utilizzati e spiegare i passaggi successivi per una consegna sicura o un follow-up.
2. "Cancellare i miei dati" (richiesta di cancellazione)
La seconda richiesta più comune che la piattaforma DSAR Termlyriceve è quella di cancellazione.
Conosciuto anche come diritto alla cancellazione o diritto all'oblio, questo diritto consente alle persone di chiedere a un'azienda di rimuovere definitivamente le loro informazioni personali dai propri sistemi.
Scenario reale
Lavori per un'app di fitness basata su abbonamento.
Un ex abbonato contatta il tuo team dicendo:
"Ho cancellato il mio account alcuni mesi fa. Vi prego di eliminare tutti i miei dati dal vostro sistema."
Esempio di risposta negativa
"Non possiamo cancellare i tuoi dati perché fanno parte dei registri del nostro sistema."
Questa risposta non riconosce i diritti dell'utente e non fornisce alcuna spiegazione né indica i passi successivi da compiere.
Anche se alcuni dati devono essere conservati per motivi legali o operativi, il semplice rifiuto della richiesta senza fornire chiarimenti viola lo spirito delle leggi sulla privacy e causa frustrazione negli utenti.
Esempio di risposta positiva
"Abbiamo ricevuto la tua richiesta di cancellazione dei dati del tuo account. La maggior parte delle tue informazioni personali, tra cui nome, indirizzo e-mail e cronologia degli allenamenti, è stata cancellata in modo permanente dai nostri sistemi attivi.
Alcuni dati, come la cronologia dei pagamenti, devono essere conservati per motivi contabili e di conformità legale, ma vengono archiviati in modo sicuro e non vengono utilizzati per altri scopi.
La tua richiesta è stata completata e riceverai un'e-mail di conferma una volta che tutti i dati associati saranno stati rimossi dall'archivio di backup.
Questa risposta conferma la richiesta, spiega quali dati possono essere cancellati e quali no, e fornisce una chiara conferma dell'avvenuto completamento dell'operazione.
Bilancia gli obblighi legali con la trasparenza, rassicurando l'utente sul fatto che i suoi dati sono stati trattati in modo appropriato.
Da portare via.
Una risposta forte alla cancellazione dovrebbe comunicare in modo chiaro e mantenere le promesse fatte.
Se alcuni dati devono essere conservati per motivi di conformità, spiegare il motivo e assicurare all'utente che non saranno utilizzati per scopi diversi da quello indicato.
Un rifiuto vago o una spiegazione parziale possono far dubitare gli utenti della tua trasparenza e aumentare il rischio di reclami normativi.
3. "Non vendere né condividere i miei dati" (richiesta di rinuncia)
Le richieste di opt-out stanno diventando sempre più frequenti poiché leggi sulla privacy come il CCPA ampliano i diritti degli utenti di limitare la condivisione o l'utilizzo dei propri dati per la pubblicità mirata.
Queste richieste degli utenti in genere chiedono a un'azienda di interrompere la vendita o la condivisione di informazioni personali con terze parti.
Scenario reale
Lavori per un rivenditore online che utilizza partner pubblicitari per realizzare campagne mirate.
Un acquirente invia un'e-mail al vostro team responsabile della privacy dicendo:
"Desidero rinunciare alla condivisione o alla vendita dei miei dati per scopi pubblicitari."
Esempio di risposta negativa
"Non vendiamo dati personali."
Sebbene ciò possa essere vero in senso stretto, non coglie l'intento più ampio della richiesta.
Molte leggi sulla privacy definiscono la "condivisione" in modo da includere determinati tipi di pubblicità mirata o tracciamento comportamentale cross-context.
Respingere la richiesta senza appello dimostra una mancanza di comprensione e potrebbe portare a reclami da parte degli utenti o a un esame legale.
Esempio di risposta positiva
"Abbiamo ricevuto la tua richiesta di rinuncia alla condivisione dei dati per scopi pubblicitari. Le tue preferenze sono state aggiornate e le tue informazioni non saranno più condivise con i nostri partner pubblicitari o di analisi.
È possibile rivedere o modificare queste impostazioni in qualsiasi momento visitando il link "Non vendere o condividere le mie informazioni personali" nel piè di pagina del nostro sito web. Si prega di notare che potrebbero comunque essere visualizzati annunci generici non basati sui dati personali.
Questa risposta conferma che la richiesta è stata ricevuta, spiega l'azione intrapresa e fornisce all'utente un modo semplice per rivedere o aggiornare le proprie preferenze in un secondo momento.
Evita il gergo legale mantenendo accuratezza e trasparenza.
Da asporto
Una risposta di opt-out efficace conferma che le preferenze dell'utente sono state applicate e chiarisce quali tipi di utilizzo dei dati continueranno.
Anche se la tua azienda non "vende" dati nel senso tradizionale del termine, rispondere direttamente alle preoccupazioni degli utenti dimostra che rispetti le loro scelte in materia di privacy e comprendi lo scopo delle leggi sulla protezione dei dati.
4. "Inviami i miei dati" (richiesta di portabilità)
Conosciuta anche come richiesta di portabilità dei dati, questa DSAR consente agli utenti di ricevere una copia dei propri dati personali in un formato facilmente trasferibile ad un altro servizio.
L'obiettivo è quello di garantire agli utenti un maggiore controllo e una maggiore flessibilità sui propri dati, in particolare quando cambiano fornitore.
Scenario reale
Lavori per uno strumento di gestione dei progetti basato su cloud.
Un cliente ci contatta dicendo:
"Sto trasferendo i miei progetti su un'altra piattaforma. Potete inviarmi una copia di tutti i miei dati?"
Esempio di risposta negativa
"Al momento non offriamo agli utenti la possibilità di esportare i dati."
Questa risposta non tiene conto dei diritti dell'utente e non fornisce un'alternativa.
Rifiutare una richiesta di portabilità dei dati senza fornire spiegazioni o dare seguito alla stessa può essere considerato non conforme alle leggi quali il GDPR il CCPA, e fa sentire gli utenti impotenti rispetto alle proprie informazioni.
Esempio di risposta positiva
"Abbiamo verificato la tua identità e preparato una copia dei tuoi dati personali, inclusi i dettagli del tuo account, le informazioni sul progetto e i file caricati.
È possibile scaricare queste informazioni in modo sicuro utilizzando il link crittografato riportato di seguito. Il link rimarrà attivo per sette giorni e il file è fornito in un formato leggibile dal computer (.CSV).
Facci sapere se hai bisogno di assistenza per importare i tuoi dati in un'altra piattaforma.
Questa risposta dimostra trasparenza, sicurezza e assistenza agli utenti.
Conferma la verifica, specifica i dati inclusi e li fornisce in un formato portatile e accessibile. Offre inoltre assistenza se l'utente ha ulteriori domande, dimostrando un approccio orientato al servizio in materia di conformità.
Da asporto
Una risposta forte in materia di portabilità offre agli utenti un accesso chiaro ai propri dati in un formato sicuro, strutturato e utilizzabile. Non è sufficiente limitarsi a dire che non è possibile fornirlo.
Le aziende dovrebbero disporre di un processo per fornire informazioni in modo sicuro e puntuale.
Questo non solo soddisfa gli obblighi legali, ma rafforza anche la fiducia nelle pratiche relative ai dati della tua azienda.
5. "Ho una richiesta speciale" (richiesta basata su un commento)
Molti moduli DSAR includono un campo commenti aperto che consente agli utenti di fornire ulteriori informazioni contestuali o di combinare più diritti alla privacy in un'unica richiesta.
Queste "richieste speciali" non sempre rientrano perfettamente in un'unica categoria giuridica, ma meritano comunque un'attenta valutazione e una risposta ponderata.
Scenario reale
Lavori per un'azienda di software che offre account sia gratuiti che a pagamento.
Un utente invia un modulo DSAR con il seguente commento:
"Vi prego di inviarmi tutti i dati raccolti sul mio account negli ultimi sei mesi e di cancellare le mie informazioni di contatto se non sono più attivo."
Esempio di risposta negativa
"Trattiamo solo richieste DSAR standard come l'accesso o la cancellazione. Ti preghiamo di inviare una di queste richieste."
Questa risposta ignora i dettagli del commento dell'utente e lo costringe a fare un lavoro extra per adattarsi al sistema aziendale.
Anche se la richiesta non è perfettamente in linea con un diritto specifico alla privacy, respingerla dimostra una mancanza di flessibilità e di attenzione al cliente.
Esempio di risposta positiva
"Grazie per aver chiarito la tua richiesta. Hai chiesto di vedere tutti i dati raccolti negli ultimi sei mesi e di cancellare le tue informazioni di contatto se il tuo account è inattivo.
Stiamo attualmente raccogliendo i dati relativi a quel periodo e condivideremo un riepilogo una volta completata l'operazione. Se confermeremo che il tuo account è inattivo, cancelleremo le tue informazioni di contatto e ti informeremo una volta completato il processo.
Facci sapere se desideri rivedere i record più vecchi o limitare la cancellazione a tipi di dati specifici.
Questa risposta riconosce la natura unica della richiesta, dimostra un ascolto attivo e definisce aspettative chiare.
Ciò dimostra che l'azienda è disposta a collaborare con l'utente piuttosto che affidarsi a categorie rigide.
Da asporto
Quando gli utenti inviano richieste speciali o basate su commenti, la flessibilità e la comunicazione sono fondamentali.
Anche se una richiesta non rientra in un diritto specifico, dedicare del tempo a comprenderla e rispondere in modo ponderato dimostra responsabilità e rafforza la fiducia degli utenti.
Come Termly ti Termly a gestire le richieste DSAR
Gestire manualmente le richieste DSAR può diventare rapidamente un compito gravoso, soprattutto con l'aumento delle richieste e l'evoluzione delle leggi sulla privacy. È qui che entra in gioco la soluzione Termlysoluzione DSAR .
Con Termly, puoi creare e gestire le richieste di dati in un unico posto, assicurandoti che ogni invio venga gestito in modo efficiente, sicuro e in linea con gli standard globali sulla privacy.
- Configura un modulo DSAR in pochi minuti: imposta un modulo ospitato o incorporabile che consenta agli utenti di richiedere facilmente l'accesso ai propri dati.
- Rendilo accessibile ovunque: aggiungi il modulo al tuo sito web o alla tua app, così gli utenti sapranno sempre come contattarti.
- Ricevi notifiche automatiche: ricevi avvisi istantanei via e-mail quando viene inviata una nuova richiesta, aiutando il tuo team a rispondere rapidamente e a rimanere organizzato.
- Soddisfa i requisiti globali in materia di privacy: la soluzione DSAR Termlysupporta i principali framework come GDPR, CCPA/CPRA, VCDPA e altri, aiutando la tua azienda ad allinearsi agli obblighi di privacy in tutto il mondo.
Utilizzando gli strumenti Termly, le aziende possono semplificare l'acquisizione dei dati, automatizzare la comunicazione e mantenere una registrazione chiara di ogni richiesta, il tutto senza dover creare un sistema da zero.
Rispondere alle richieste DSAR non significa solo rispettare la legge, ma anche dimostrare ai propri utenti che i loro diritti in materia di dati sono importanti.
Ogni risposta è un'occasione per creare trasparenza e fiducia. Che si tratti di una semplice richiesta di accesso o di una complessa richiesta di cancellazione, l'approccio giusto fa la differenza.
Per saperne di più su chi scrive
Scritto da Hanna De La Garza
Hanna è Content Writer presso Termly, dove crea risorse coinvolgenti su privacy dei dati, gestione del consenso, aggiornamenti normativi e altro ancora. Si concentra sul rendere accessibili argomenti complessi per i proprietari di aziende e contribuisce sia alle nuove iniziative di contenuto sia agli aggiornamenti dei materiali esistenti per garantire accuratezza e chiarezza.
Per saperne di più su chi scrive
Recensito da Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direttore di Global Privacy
