Ai sensi del Regolamento generale sulla protezione dei datiGDPR), le persone protette possono presentare richieste per dare seguito ai loro diritti alla privacy, che comprendono il diritto di accesso, correzione, cancellazione o trasferimento dei propri dati personali.
Possono farlo presentando una richiesta di accesso ai dati (DSAR).
In questa guida descrivo cos'è un DSAR e come il GDPR e altre leggi influiscono sul processo, e spiego come le aziende dovrebbero rispondere quando gli utenti presentano una di queste richieste.
DSAR Definito
Una richiesta di accesso ai dati (DSAR) si riferisce a quando le persone presentano richieste per dare seguito ai diritti alla privacy loro riconosciuti dal Regolamento generale sulla protezione dei dati (GDPR), la legge sulla privacy che protegge le persone in Europa.
Si può anche parlare di richiesta di accesso ai soggetti o SAR.
Anche se la "A" di DSAR si riferisce specificamente a quando un utente chiede di accedere alle informazioni personali raccolte da un'organizzazione, le DSAR possono essere presentate per dare seguito a qualsiasi diritto alla privacy delineato dal GDPR.
Vantaggi delle DSAR
La particolarità delle DSAR è la loro versatilità: aiutano a semplificare la conformità al GDPR e alle leggi sulla privacy in generale, rendendole ideali per le aziende.
Sebbene le leggi di altre regioni utilizzino termini e regole diverse, un DSAR può essere tecnicamente presentato da persone protette per far valere anche questi diritti legali.
Le aziende devono disporre di un processo DSAR adattabile, in modo che quando un utente fa una richiesta di diritti sulla privacy, il team sappia come rispondere in modo tempestivo e conforme.
Quali sono le leggi che regolano i DSAR?
La legge originale sulla privacy dei dati che regola le DSAR è il GDPR, che si applica a qualsiasi azienda in Europa e a chiunque raccolga dati da soggetti dell'UE, indipendentemente dall'ubicazione.
Tuttavia, anche altre leggi impongono alle aziende di concedere agli utenti l'accesso ai dati e altri diritti, e l'implementazione di un unico processo DSAR può aiutare la vostra azienda a soddisfare queste linee guida legali in modo efficiente e diretto.
Queste ulteriori leggi sulla privacy includono le seguenti:
- Legge generale sulla protezione dei dati (LGPD) del Brasile
- Legge sulla privacy dei consumatori della California (CCPA)
- Legge sulla privacy del Colorado (CPA)
- Legge sulla privacy dei dati del Connecticut (CTDPA)
- Legge sulla privacy dei consumatori dell'Oregon (OCPA)
- La legge sudafricana sulla protezione delle informazioni personali (POPIA)
- Legge sulla privacy dei consumatori dello Utah (UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)
Sebbene alcuni dettagli differiscano tra le leggi, come ad esempio i tempi di risposta, la maggior parte di esse consente ai consumatori di accedere, correggere o cancellare le informazioni personali e impone multe o sanzioni se le aziende non rispondono alle richieste.
I requisiti DSAR previsti da tutte le leggi sulla privacy dei dati sono sostanzialmente simili.
Per questo motivo, è possibile utilizzare un unico modulo DSAR e aggiungerlo al proprio sito per aiutare gli utenti, ai sensi di tutte le leggi sulla privacy, a presentare richieste di intervento sui loro diritti.
Per quali diritti gli utenti possono presentare le DSAR?
Gli utenti possono rivolgersi a un DSAR per far valere i loro diritti alla privacy, che possono includere:
- Accesso
- Correggere o modificare
- Cancellazione/diritto all'oblio
- Trasferimento
- Rifiuto della profilazione
- Rinuncia alla vendita o alla condivisione dei dati
- Rinuncia alla pubblicità mirata
È inoltre possibile richiedere di dare seguito a più diritti in un'unica DSAR.
Chi può presentare un DSAR?
Ai sensi del GDPR - e della maggior parte delle leggi sulla privacy esistenti - qualsiasi individuo o una terza parte che agisce per conto di un individuo può presentare una DSAR, ad esempio:
- Un genitore o un tutore può presentare una richiesta per conto di un bambino
- Un parente, una persona cara o un amico stretto può presentare una richiesta per conto di una persona.
- I servizi di terze parti possono presentare una richiesta per conto di singoli individui
- Le DSAR automatizzate possono essere inviate dalle aziende per conto dei loro clienti.
- Impostazioni del browser dell'utente, come controlli globali della privacy o meccanismi di opt-out universali
I contributi possono provenire anche da utenti, dipendenti, clienti o altre persone che hanno raccolto i loro dati personali.
In ogni caso, è necessario verificare l'identità del richiedente e assicurarsi che la richiesta sia valida.
Come si può presentare un DSAR?
I consumatori possono inviare una DSAR attraverso qualsiasi canale di comunicazione, tra cui e-mail, canali di social media e persino posta ordinaria.
Secondo molte leggi sulla privacy, i consumatori possono presentare richieste di accesso ai dati in modo informale.
La richiesta può contenere informazioni dettagliate o semplicemente dire: "Vorrei che cancellaste le informazioni personali che avete su di me".
Per evitare che la vostra azienda riceva DSAR casuali in formati imprevedibili, vi consiglio di impostare sul vostro sito web un modulo DSAR e/o un'e-mail specifici per la ricezione di queste richieste.
Potete accedere facilmente al software DSAR iscrivendovi a Termly, che vi aiuta a raccogliere e tenere traccia delle informazioni necessarie per gestire correttamente le richieste dei consumatori.
Include anche un modulo DSAR come quello illustrato di seguito, che potete incorporare nel vostro sito.
Vi suggerisco di monitorare comunque tutti i canali di comunicazione per assicurarvi che nessuna richiesta venga trascurata per evitare multe per non conformità legale.
Che cosa comprende il DSAR?
Tecnicamente, non è necessario che una richiesta di accesso ai dati sia formattata in un certo modo o che contenga informazioni specifiche.
Un individuo può presentare una DSAR semplicemente inviando un'e-mail e dicendo: "Vorrei conoscere tutte le informazioni personali che avete memorizzato su di me".
Tuttavia, il processo è più semplice per la vostra azienda e per i consumatori se presentate loro un modulo DSAR sul vostro sito web che include domande specifiche in modo che possano fornirvi i seguenti dettagli:
- Il sito web o l'applicazione a cui fa riferimento il richiedente
- Il nome del richiedente
- Un indirizzo e-mail o un altro mezzo per inviare una risposta al richiedente.
- Se il richiedente presenta la richiesta per se stesso o per una terza parte
- A quale legge si applica la richiesta
- Quale/i diritto/i il richiedente sta presentando per dare seguito alla richiesta
- Uno spazio per il richiedente per lasciare informazioni e dettagli aggiuntivi.
Una volta ricevuto un DSAR, l'azienda deve verificare l'identità del richiedente e chiarire la richiesta, se necessario.
Come rispondere a un DSAR
Per molte organizzazioni, il processo che segue è un buon punto di partenza per rispondere alle richieste di accesso ai dati:
- Determinare la legge applicabile: I requisiti per i tempi di risposta variano a seconda della legge, e potreste non essere legalmente obbligati a soddisfare la richiesta se l'individuo non è protetto da leggi come il GDPR o il CCPA; potreste comunque voler rispondere a queste richieste per promuovere buone relazioni con i clienti.
- Verificare l'identità del richiedente: Per legge, dovete verificare l'identità del richiedente utilizzando le informazioni personali già in vostro possesso, poiché alcune leggi vietano di chiedere ulteriori informazioni. Prendete in considerazione la possibilità di chiedere all'autore della richiesta di verificare le informazioni di accesso o di contattarvi utilizzando il metodo di iscrizione originale.
- Chiarire la richiesta: Chiedere a chi presenta la richiesta di chiarire l'esatta natura della richiesta, in quanto i richiedenti possono presentare DSAR per l'accesso, la cancellazione, il trasferimento, la modifica, per bloccare la vendita dei loro dati e altro ancora.
- Verificare la validità della richiesta: Quando ricevete un DSAR, come voi stessi, la richiesta è valida? Siete in grado di completare la richiesta in tempo? Ricordate che se rifiutate la richiesta, dovete comunque contattare il richiedente e spiegargli il motivo.
- Effettuare una ricerca di dati: È necessario trovare tutte le informazioni personali del richiedente, il che significa cercare tra copie cartacee, file digitali, account utente, servizi di pagamento e altro ancora. Questa fase dell ›inventario dei dati può comportare il coinvolgimento di più team dell'organizzazione.
-
Rispondere alla richiesta nel formato corretto: Alcune delle informazioni da includere nella risposta sono:
- Conferma che la richiesta è stata completata
- Istruzioni se l'utente deve completare parti della richiesta manualmente
- A chi sono stati comunicati i dati, ad esempio a terzi
- La tempistica per il completamento di eventuali fasi aggiuntive
- Spiegazione del diritto dell'utente a presentare un reclamo a un'autorità di regolamentazione.
- Una spiegazione del diritto dell'utente di richiedere la modifica o la cancellazione dei propri dati o la limitazione del trattamento dei dati.
-
Creare un registro di audit: Conservare un registro delle DSAR completate in caso di reclamo da parte dell'utente o di indagine normativa. Considerate di includere le seguenti informazioni nel vostro registro:
- Tipo e data della richiesta
- Stato e dati di completamento
- Categoria dell'interessato, come "utente" o "dipendente".
- Persona responsabile della compilazione della richiesta
La procedura esatta per rispondere a un DSAR può variare a seconda delle circostanze specifiche della vostra azienda, ma ricordate di documentare il vostro processo di risposta per assicurarvi di gestire le richieste in modo accurato ed equo.
Verifica dell'identità di un individuo
Le aziende sono legalmente responsabili della verifica dell'identità dei consumatori che presentano richieste di attuazione dei loro diritti alla privacy.
In questo modo si garantisce che i dati personali vengano rilasciati solo alle persone autorizzate.
Il GDPR lo richiede in base al considerando 64, che stabilisce che le aziende devono utilizzare "misure ragionevoli" per verificare l'identità dell'interessato, ma non possono conservare le informazioni al solo scopo di reagire a potenziali DSAR.
In caso contrario, spetta all'azienda implementare un processo per confermare l'identità dei consumatori che presentano le DSAR.
I metodi comuni di verifica dell'identità includono:
- Identificazione fotografica
- Domande di autenticazione basate sulla conoscenza
- Credenziali di accesso dell'utente (se già esistenti)
- Autenticazione a più fattori
Detto questo, non si possono chiedere più informazioni personali di quelle a cui si ha già accesso quando si conferma l'identità di un utente, a meno che non sia assolutamente necessario.
Chi deve rispondere ai DSAR?
Le aziende con cui ho lavorato hanno risposto con successo alle DSAR designando un'unica persona all'interno del loro team, responsabile di tutta la supervisione del processo.
Potreste scegliere un membro del vostro team per la privacy dei dati o il vostro responsabile della protezione dei dati (DPO), se la vostra organizzazione ne ha uno.
Chiunque venga incaricato deve comprendere gli aspetti legali della risposta alle DSAR, in modo da poter garantire una risposta e una tracciabilità conformi.
Si può chiedere un compenso per un DSAR?
In genere, le leggi sulla privacy stabiliscono che le aziende non possono chiedere un compenso per rispondere a un DSAR.
Tuttavia, alcune leggi prevedono eccezioni per le richieste considerate eccessive o infondate: in queste circostanze, è consentito il pagamento di un onorario ragionevole.
È responsabilità dell'azienda dimostrare che la richiesta è eccessiva.
Si può rifiutare di rispondere a un DSAR?
Sì, a seconda della legge, potete rifiutarvi di rispondere a un DSAR in determinate circostanze e in situazioni specifiche, ma dovete sempre fare quanto segue:
- Informare l'individuo della propria scelta
- Spiegare il motivo per cui si rifiuta la richiesta.
- Fornite loro un modo per appellarsi alla vostra decisione.
Ad esempio, potete rifiutarvi di onorare una DSAR se è di natura dolosa, per motivi legali, per adempiere a un contratto o se la richiesta viola la privacy di un'altra persona.
Altre leggi sulla privacy, come il VCDPA e il CPA, seguono linee guida molto simili al GDPR e al CCPA quando si tratta di negare una DSAR a un individuo.
Quanto tempo avete a disposizione per rispondere a un DSAR?
La tempistica per rispondere alle DSAR varia a seconda della legge applicabile, ma in genere si hanno a disposizione tra i 30 e i 45 giorni per rispondere.
Ai sensi del GDPR, dovete rispondere entro un mese di calendario, ma potete estendere tale termine fino a due mesi, a condizione che informiate l'individuo se e perché la proroga è necessaria.
In base alle leggi sulla privacy degli Stati Uniti, tra cui CCPA, CPA, CTDPA e VCDPA, dovete rispondere entro 45 giorni e potete prorogare tale termine di altri 45 giorni, a condizione di informare l'individuo in anticipo.
Sanzioni in caso di mancata risposta a un DSAR
Se non rispondete in tempo a un DSAR, potreste essere soggetti a multe, azioni legali o altre sanzioni, a seconda della normativa sulla privacy applicabile.
Ho compilato un elenco di sanzioni per tutte le leggi sulla privacy citate in questa guida, che potete trovare nella tabella sottostante.
| Legge sulla privacy dei dati | Sanzioni in caso di non conformità |
| GDPR |
|
| CCPA/CPRA |
|
| CPA |
|
| CTDPA |
|
| OCPA |
|
| UCPA |
|
| VCDPA |
|
| LGPD del Brasile |
|
| Il POPIA del Sudafrica |
|
Domande frequenti sul DSAR
Di seguito, rispondo ad alcune delle domande più frequenti che ci vengono poste sulle DSAR.
È possibile eliminare le informazioni da una risposta DSAR?
Sì, potete (e a volte dovete) eliminare le informazioni da una risposta DSAR se non sono pertinenti alla richiesta o se rischiano di rivelare le informazioni di un'altra persona o di terzi.
Quali sono i problemi che si possono incontrare con i DSAR?
Con i DSAR si possono riscontrare diversi problemi, tra cui:
- Difficoltà di individuare tutte le informazioni personali se non si è proceduto a un audit della raccolta dei dati.
- Verificare l'identità del richiedente, che è il primo passo per rispondere a un DSAR e non dovrebbe comportare la raccolta di più dati di quelli già in vostro possesso.
- Documentazione DSAR, tenere un registro di controllo in caso di reclamo o di revisione esterna.
- Tempistica, potreste scoprire che la compilazione delle DSAR richiede più tempo del previsto. Implementate una procedura DSAR standardizzata per semplificare il processo di risposta.
I dipendenti possono presentare una DSAR ai loro datori di lavoro?
Sì, i dipendenti attuali e gli ex dipendenti possono presentare le DSAR ai loro datori di lavoro, ma se c'è un motivo legittimo per cui non è possibile soddisfare la richiesta, è possibile rifiutare.
Riassunto
A seconda delle leggi sulla privacy che riguardano la vostra azienda, alcuni utenti hanno il diritto di presentare richieste su come vengono raccolte, elaborate e utilizzate le loro informazioni personali.
Stabilire un processo di risposta alle DSAR è essenziale, in quanto aiuta a ridurre i tempi di risposta, dalla conformità legale alla garanzia di trovare tutti i dati sul richiedente.
Semplificate la vostra attività accedendo alla suite di soluzioni di conformità diTermly e ottenete un modulo DSAR completo che potete facilmente incorporare nel vostro sito web.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
