l'ambito di applicazione delle leggi sulla privacy dei dati si sta ampliando ed è giunto il momento di preparare la vostra azienda a rispondere alle richieste di accesso ai dati (DSAR), ovvero quando un individuo chiede di esercitare i propri diritti sulle informazioni personali raccolte.
Stabilire un flusso di lavoro DSAR trasparente per la vostra azienda per rispondere alle richieste dei consumatori vi aiuta a rispettare le leggi sulla privacy dei dati e a costruire la fiducia dei clienti.
Utilizzate la mia guida passo passo per creare un processo DSAR affidabile, legalmente corretto e semplice per la vostra azienda e i vostri utenti.
Flusso di lavoro DSAR passo-passo che la vostra azienda deve seguire
Ecco i dieci passi che vi consiglio di seguire per garantire che il flusso di lavoro DSAR della vostra azienda si svolga senza intoppi e soddisfi tutti gli obblighi di legge.
Fase 1: Ricezione e identificazione di un DSAR
Il primo passo da compiere per stabilire un flusso di lavoro DSAR è scegliere le modalità di invio delle richieste da parte degli utenti.
Consiglio di scegliere un sistema in base al modo in cui i vostri utenti interagiscono tipicamente con la vostra piattaforma e alla natura dei dati personali che raccogliete, tenendo presente le leggi sulla privacy applicabili.
Ci sono diversi metodi che si possono implementare sul proprio sito, tra cui:
Per semplificare questo processo, Termly mette a disposizione di tutti gli utenti un modulo DSAR che potete incorporare nel vostro sito web: guardate come appare nella schermata qui sotto.
Alcune leggi richiedono di fornire ai consumatori due o più modi per presentare le richieste.
Dovete rispondere ai consumatori anche se non seguono i metodi specifici che implementate sulla vostra piattaforma, perché le leggi sulla privacy consentono alle persone di inviare le DSAR con qualsiasi metodo scelgano.
Ma fornire loro un percorso chiaro per presentare queste richieste è più efficiente e la maggior parte degli utenti seguirà volentieri il processo stabilito.
Verifica dell'identità dell'interessato
Una volta scelti i metodi da utilizzare per consentire ai consumatori di far valere i propri diritti, è necessario anche stabilire un processo di verifica delle richieste dei consumatori per garantire che non vengano mai rilasciate informazioni personali a una persona autorizzata.
Quando verificate l'identità del consumatore, evitate di chiedere altre informazioni personali se non è necessario, e non chiedete di creare un account, perché questo è vietato da alcune leggi.
Considerate invece l'utilizzo di un approccio di autenticazione a due fattori e sfruttate i dati preesistenti di cui già disponete; ad esempio, potreste inviare un codice all'indirizzo e-mail o al numero di telefono dell'utente o fargli selezionare e rispondere correttamente a una domanda di sicurezza.
Comprendere la portata della richiesta
È inoltre necessario assicurarsi che la persona o il team che risponde alle DSAR comprenda la portata della richiesta del consumatore, in modo da poter rispondere con precisione.
I consumatori hanno diversi diritti e possono presentare richieste per dare seguito a ciascuno di essi, quindi assicuratevi di conoscere la richiesta o la domanda specifica e di rispondere a tutte le sue sfaccettature.
Fase 2: raccolta dei dati richiesti
Il passo successivo consiste nel raccogliere i dati pertinenti richiesti per poter rispondere in modo appropriato al consumatore.
La procedura interna deve spiegare quali dipendenti sono autorizzati a localizzare le informazioni, le reti in cui vengono archiviati i dati, se sono collocati in più luoghi e se le informazioni vengono archiviate fisicamente.
Recupero dei dati personali
A seconda del settore, possono essere richieste diverse autorizzazioni prima che il vostro team possa accedere alle informazioni per conto dell'interessato.
Ad esempio, ciò è necessario ai sensi delle leggi federali statunitensi come l'HIPAA, quindi verificate se queste regole hanno un impatto sulla vostra azienda e aggiungete i dettagli appropriati alle vostre procedure DSAR.
Potreste anche considerare l'implementazione di tecniche di mappatura dei dati per facilitare la raccolta di queste informazioni da parte del vostro team.
Dati di terzi
Quando raccogliete le informazioni, ricordate di includere i dati raccolti da terzi con cui collaborate, soprattutto se vi affidate a un elaboratore di dati terzo.
La richiesta dei consumatori si applica a tutti i dati raccolti.
La maggior parte delle leggi sulla protezione dei dati obbliga contrattualmente le terze parti ad aiutarvi a dare seguito alle richieste dei consumatori, quindi assicuratevi che i vostri contratti aziendali riflettano questi requisiti.
Fase 3: Esame dei dati e valutazione dell'esenzione
Una volta raccolti i dati richiesti dal consumatore, verificatene la riservatezza e la sensibilità per assicurarvi che soddisfino i vostri requisiti interni per accettare o rifiutare le DSAR.
Identificazione delle informazioni esenti
Alcuni dati personali possono essere esentati dalla condivisione con l'interessato, e dovete spiegare come il vostro team ha determinato questo fatto.
Ad esempio, non è possibile condividere informazioni con qualcuno se ciò viola i diritti di privacy di un'altra persona.
Dovete rifiutare le richieste che ostacolano la privacy di un'altra persona e spiegarlo chiaramente all'interessato originale.
Bilanciare trasparenza e protezione dei dati
Quando si risponde a una richiesta del consumatore, il team deve registrare i passi compiuti, mantenendo i dati protetti.
Chiedete ai vostri dipendenti di segnare quanto segue in caso di audit normativo:
- La data e l'ora di ogni attività completata
- l'autorizzazione per le richieste
- Le potenziali ubicazioni dei dati a cui hanno avuto accesso
Siete anche responsabili di mantenere questi dati al sicuro da violazioni dei dati o da accessi non autorizzati, quindi assicuratevi di avere misure di sicurezza per evitarlo.
Fase 4: Comunicazione con l'interessato
Informate il consumatore che avete ricevuto la sua richiesta e che state lavorando a una risposta inviandogli un avviso di verifica.
Aggiornamenti sui progressi compiuti
A seconda delle leggi in vigore, la risposta alle DSAR potrebbe essere soggetta a un termine di 30 o 45 giorni, per cui si consiglia di inviare all'utente aggiornamenti sui progressi compiuti.
Aggiornare l'interessato sulla durata del processo lo rassicura e responsabilizza il DPO o il team per la privacy a portare avanti il flusso di lavoro della DSAR in modo tempestivo.
Chiedere chiarimenti, se necessario
È possibile richiedere chiarimenti all'interessato se ciò è necessario per soddisfare una richiesta o per obblighi di legge.
Ad esempio, potrebbe essere necessario verificare quali sono i diritti che stanno seguendo o chiarire se stanno agendo per conto del figlio.
Tuttavia, il processo DSAR deve essere conforme a tutte le leggi applicabili e ci sono limitazioni su ciò che si può o non si può chiedere a un soggetto interessato, a seconda della legislazione applicabile alla vostra azienda.
Fase 5: Elaborazione e compilazione della risposta
Assicuratevi di essere ben organizzati quando elaborate e compilate la vostra risposta a un DSAR.
Molte leggi danno ai consumatori il diritto a una copia portatile delle loro informazioni, il che significa che devono essere presentate in modo da poter essere facilmente condivise con un altro titolare del trattamento.
Lo scopo di questo diritto è quello di evitare che i dati degli utenti vengano memorizzati su piattaforme chiuse, il che rende difficile cambiare account o cambiare servizio.
Raccomando di implementare quanto segue, quando possibile:
- Fornire i dati utilizzando un tipo di file comune e accessibile.
- fornire al consumatore un accesso remoto tramite un sistema sicuro
- Formattate il documento in modo che sia facile da leggere e da capire.
Riduzione delle informazioni di terze parti
Quando si compilano le DSAR, potrebbe essere necessario eliminare le informazioni relative a terzi, quindi è necessario disporre di un processo per identificare e rimuovere questo tipo di informazioni.
Ad esempio, si potrebbe eliminare:
- Informazioni sull'organizzazione privata
- Informazioni che non rientrano nell'ambito dei dati personali
- Dati relativi a un'altra persona che non effettua la richiesta
Fase 6: stesura della risposta
Nel redigere una risposta a un DSAR, utilizzate un linguaggio diretto e di facile comprensione, siate esaurienti e verificate due volte che stiate fornendo tutto ciò che il consumatore ha richiesto.
Spiegazione delle attività di trattamento dei dati
Siate trasparenti sulle vostre attività di elaborazione e assicuratevi che chiunque lavori al vostro flusso di lavoro DSAR comprenda questi protocolli in modo da poter elaborare risposte accurate.
Considerate la possibilità di preparare dei modelli che il vostro team possa adattare e personalizzare in base al tipo di richiesta ricevuta.
Esenzioni e limitazioni
Dovete spiegare chiaramente al richiedente se i dati richiesti sono esenti, se possono essere condivisi solo in quantità limitate o se devono essere completamente negati.
Il rifiuto delle DSAR è consentito in scenari molto specifici: secondo il GDPR, è possibile negarle se sono infondate o eccessive.
Nei vostri protocolli DSAR, basati sulle leggi applicabili in materia di privacy, spiegate quali sono le cause di rifiuto delle DSAR, in modo che il vostro team sappia quando è o non è appropriato.
Fase 7: Revisione e garanzia di qualità
Una volta redatta la risposta, rivedetela internamente per verificarne l'accuratezza e la qualità.
l'esecuzione di una revisione interna nell'ambito del flusso di lavoro complessivo consente di individuare e correggere gli errori o gli errori legali prima che si verifichino.
Garantire precisione e conformità
Prima di inviare una risposta ufficiale all'interessato, verificate che tutti i dati personali e i dettagli siano accurati e che vi siate attenuti alle leggi vigenti.
Gli interessati di regioni diverse hanno diritti diversi, quindi inserite i dettagli sui loro diritti nei vostri protocolli DSAR per assicurarvi che tutti i membri del vostro team li comprendano.
Se commettete un errore, le leggi sulla privacy riterranno la vostra azienda responsabile.
Approvazione legale e DPO
Se necessario, chiedete al vostro DPO o al team legale di rivedere le risposte DSAR prima di inviarle all'interessato, in modo che possano ricontrollare che tutto sia stato fatto correttamente e in modo conforme.
Fase 8: Invio della risposta DSAR
Prima di inviare la risposta al DSAR, verificare le leggi vigenti per determinare la formattazione e i metodi di consegna corretti.
Ad esempio, ai sensi del GDPR, qualsiasi richiesta degli interessati fatta per via elettronica deve essere soddisfatta allo stesso modo.
Includete i metodi di risposta necessari come parte del vostro flusso di lavoro DSAR, in modo che il vostro team comprenda il modo legalmente appropriato per inviare una risposta ai consumatori.
Consegna e comunicazione tempestive
La maggior parte delle leggi sulla privacy dei dati richiede di rispondere alle richieste degli interessati senza ritardi ingiustificati o entro 30-45 giorni dal ricevimento.
Secondo il GDPR, avete 30 giorni per rispondere alle DSAR, mentre secondo il CCPA avete 45 giorni.
Rispondere prima è sempre meglio che rispondere troppo tardi, a quel punto la legge potrebbe ritenere i responsabili legali.
Fase 9: Gestione dei ricorsi e fasi successive
Dopo aver risposto a un DSAR, dovete fornire agli interessati un metodo semplice per impugnare le vostre decisioni in merito alle loro richieste.
Leggi come il VCDPA stabiliscono che il processo di appello deve essere semplice e simile al sistema inizialmente utilizzato per consentire ai consumatori di presentare le richieste.
Avete quindi un tempo determinato per rispondere a un ricorso, a seconda della legislazione applicabile alla vostra azienda.
Casi complessi in fase di escalation
Dopo aver risposto a un consumatore, potreste dover affrontare richieste complesse o ricorsi complicati.
Ad esempio, un tutore legale potrebbe contattarvi per preoccuparsi del fatto che il vostro sito web o la vostra app raccolgano informazioni sul loro bambino, nonostante la vostra attività non sia rivolta ai minori.
Per preparare la vostra azienda, create un processo di escalation di queste richieste ai canali appropriati, in modo da poterle risolvere in modo efficiente.
Miglioramento continuo del processo DSAR
Man mano che ricevete altre DSAR e testate il vostro flusso di lavoro, modificatelo continuamente se necessario.
Se scoprite lacune nella vostra politica o punti dolenti, potete affrontarli e risolverli, perché il processo complessivo di risposta al DSAR dipende interamente da voi.
Dovete anche prestare attenzione alle nuove leggi sulla privacy che potrebbero avere un impatto su parti del vostro processo DSAR.
Fase 10: Tenuta dei registri e documentazione
La conservazione di registrazioni sicure delle vostre DSAR e delle risposte è essenziale ai fini dell'organizzazione interna e in caso di audit sulla privacy.
Ai sensi del GDPR, dovete tenere un registro dettagliato delle vostre attività di trattamento e renderlo disponibile su richiesta delle autorità di regolamentazione, comprese le risposte e i ricorsi DSAR.
Ai sensi dell'articolo 31 del GDPR, si tratta di un registro delle attività di trattamento o RoPA.
Indipendentemente dagli obblighi di legge, questa è una best practice, in quanto può aiutare a dimostrare la conformità legale in caso di problemi.
Traccia di controllo e responsabilità
La documentazione delle comunicazioni con i soggetti interessati che presentano le DSAR crea una traccia di controllo che può aiutare a dimostrare la conformità alle leggi applicabili in caso di domande da parte delle autorità di regolamentazione.
Quindi registrate tutti i vostri passi e conservate questi dati in un ambiente sicuro.
Come ulteriore vantaggio, se lo stesso consumatore presenterà un'altra DSAR in futuro, il vostro team potrà rispondere alla sua richiesta in modo più rapido e semplice.
Panoramica delle richieste di accesso ai dati
Ora che ho spiegato come la vostra azienda può realizzare un processo DSAR, parliamo dei diritti alla privacy degli utenti garantiti dalle diverse leggi sulla privacy dei dati.
Anche se i diritti specifici variano, in genere le persone protette da questi atti legislativi hanno il diritto di chiedere di:
- Accedere ai dati personali raccolti su di loro e sapere per cosa li utilizzate
- Correggere o modificare i propri dati personali
- Cancellare i dati raccolti su di loro
- Ottenere una copia portatile dei dati raccolti su di loro.
- Optare per alcuni tipi di attività di trattamento dei dati, come la profilazione, la vendita dei propri dati o la pubblicità mirata.
Le richieste di accesso ai dati sono diventate sempre più importanti dopo l'introduzione del Regolamento generale sulla protezione dei dati (GDPR).GDPR), l'influente legge sulla privacy dei dati che protegge le persone all'interno dell'Unione europea (UE) e dello Spazio economico europeo (SEE).
Tuttavia, la procedura DSAR può essere applicata agli utenti che presentano richieste per dare seguito ai diritti loro concessi da queste e altre leggi sulla privacy:
- Legge generale sulla protezione dei dati del Brasile
- Legge sulla protezione dei consumatori della California(CCPA)
- Legge sulla privacy del Colorado(CPA)
- Legge sulla privacy dei dati del Connecticut(CTDPA)
- Legge sulla privacy della Nuova Zelanda
- Legge sulla privacy dei dati dell'Oregon(ODPA)
- Svizzera Legge federale riveduta sulla protezione dei dati(FADP)
- Legge sulla privacy dei consumatori dello Utah(UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia(VCDPA)
l'importanza di un processo DSAR per le imprese
Stabilire un processo DSAR adeguato è importante per le aziende perché spesso si tratta di un'impresa in più fasi e alcune leggi, come il GDPR e il CCPA, stabiliscono tempi specifici per rispondere e completare le richieste dei consumatori.
Inoltre, di solito non è consentito addebitare alcun costo per l'intero processo DSAR, quindi è essenziale che la vostra azienda possa soddisfare questi requisiti in modo conveniente.
Altri modi per prepararsi a un DSAR
Poi vi spiegherò altri modi per prepararvi alle richieste di informazioni da parte dei consumatori.
Nomina di un responsabile della protezione dei dati (DPO)
Per alcune aziende può essere necessario nominare un responsabile della protezione dei dati (DPO).
Il DPO aiuta l'azienda a raccogliere ed elaborare i dati in modo legalmente conforme e può rispondere alle DSAR o supervisionare e aiutare a gestire il processo, a seconda delle dimensioni e della portata dell'azienda.
Ad esempio, le aziende più piccole di solito hanno bisogno di un solo DPO per soddisfare gli obblighi di legge, mentre le aziende che trattano grandi quantità di dati o informazioni altamente sensibili possono avere bisogno di un team di dipendenti che assistano il DPO.
Quando scegliete un DPO, assicuratevi che abbia familiarità con la legislazione sulla privacy e che conosca a fondo le operazioni della vostra azienda.
Evitate di scegliere qualcuno con un contratto a breve termine e assicuratevi che non ci siano conflitti di interesse.
Formazione e sensibilizzazione dei dipendenti
Formare il personale sulla privacy dei dati per aumentare la consapevolezza dei dipendenti in merito alle best practice e al processo DSAR implementato dall'azienda.
Assicurarsi che l'intero team sia informato sulla privacy contribuirà a rendere il processo DSAR più efficiente ed efficace.
Come minimo, tutti i dipendenti devono essere addestrati a riconoscere una DSAR e a segnalarla in modo appropriato.
I vostri dipendenti hanno anche diritti sulla privacy in merito alle modalità di raccolta, utilizzo ed elaborazione dei loro dati, di cui dovete tenere conto quando create un flusso di lavoro DSAR.
Riassunto
In definitiva, la creazione di un flusso di lavoro DSAR mette tutto il vostro team sulla stessa lunghezza d'onda e vi aiuta a rispettare le normative sulla protezione dei dati delineate dalle leggi in materia.
La violazione di una di queste leggi, anche se accidentale, può portare a ripercussioni sull'opinione pubblica e a multe significative che si accumulano rapidamente: basta dare un'occhiata a questo elenco delle più grandi multe GDPR di tutti i tempi.
Un processo DSAR efficiente dimostra inoltre ai consumatori che la vostra azienda si impegna costantemente a proteggere la loro privacy.
Le attuali statistiche sulla privacy suggeriscono che i consumatori si preoccupano più che mai di ciò che accade alle loro informazioni personali online.
Dimostrate loro che vi sta a cuore proteggere l'integrità delle loro informazioni implementando un processo DSAR coerente e ben strutturato.
Per saperne di più su chi scrive
Scritto da James Ó Nuanáin, CIPP/E, CIPM, CIPT
James è un professionista della privacy con oltre sette anni di esperienza nell'assistere grandi organizzazioni nell'adempimento degli obblighi previsti dal GPDR e da altre normative locali sulla privacy. È appassionato di privacy dei dati e dell'intersezione tra legge e tecnologia. Per saperne di più su chi scrive
