Ai sensi del Regolamento generale sulla protezione dei datiGDPR), le aziende hanno la responsabilità di ricevere e rispondere alle richieste delle persone per dare seguito ai loro diritti sulla privacy, chiamate anche richieste di accesso ai dati (DSAR).
La vostra azienda dovrebbe stabilire una procedura interna formale per il modo in cui il vostro team gestirà le DSAR degli interessati al GDPR in modo tempestivo e conforme alla legge.
In questa guida vi fornisco i requisiti GDPR per le DSAR e vi illustro i passi che la vostra azienda può compiere per semplificare e snellire il processo di risposta.
Definizione di richieste di accesso ai dati (DSAR) del GDPR
Ai sensi dell'articolo 15 del GDPR, si parla di DSAR quando una persona protetta (ovvero l'interessato) presenta una richiesta di accesso ai dati personali raccolti da un'azienda.
Queste richieste possono anche essere chiamate richieste di accesso ai soggetti o SAR.
La "A" di "DSAR" sta per "Accesso".
Tuttavia, le persone possono presentare delle DSAR per far valere uno qualsiasi dei diritti alla privacy conferiti loro dal GDPR.
Le richieste possono essere inoltrate in qualsiasi modo, anche via e-mail, telefono o social media.
Tuttavia, se l'interessato presenta la richiesta per via elettronica, se non diversamente richiesto dall'interessato, le informazioni saranno fornite in un formato elettronico di uso comune.
È utile fornire un modulo DSAR correttamente intitolato sul vostro sito web, che filtrerà la maggior parte delle richieste dei vostri utenti in un unico canale e renderà il processo più efficiente.
Tuttavia, è necessario verificare la presenza di DSAR in altre vie di comunicazione, nel caso in cui un consumatore invii la sua richiesta altrove.
Quali diritti conferisce il GDPR agli interessati?
Il GDPR delinea i diritti dell'interessato nel capitolo 3, articoli da 12 a 23, che includono i seguenti:
- Accesso ai dati personali(articolo 15);
- Rettifica dei dati personali(articolo 16);
- Cancellazione/diritto all'oblio(articolo 17);
- Limitare il trattamento dei dati(articolo 18);
- Portabilità dei dati(articolo 20);
- Opporsi al trattamento dei dati(articolo 21);
- Obiezione al processo decisionale individuale e alla profilazione(articolo 22).
Dovete essere pronti a rispondere tempestivamente alle DSAR per uno qualsiasi di questi diritti, seguendo tutte le regole e i principi delineati dal regolamento.
Come navigare nel GDPR e nelle DSAR: Passo dopo passo
Per semplificare la gestione di una DSAR da parte di un soggetto interessato GDPR , raccomando alla vostra azienda di seguire questi cinque semplici passi.
Fase 1: Requisiti di verifica
Dopo aver ricevuto una DSAR da una persona interessata GDPR , il primo passo è quello di confermare la ricezione della richiesta alla persona che l'ha presentata e assicurarsi di poterne verificare adeguatamente l'identità.
La verifica dell'identità è necessaria perché, per legge, non è possibile rilasciare informazioni su un'altra persona a un soggetto non autorizzato.
Secondo il considerando 64 del GDPR, potete decidere come verificare l'identità di un utente, ma dovete utilizzare tutte le "misure ragionevoli" nel contesto dei servizi online e degli identificatori online.
Tuttavia, non è possibile conservare i dati personali al solo scopo di verificare le richieste dei consumatori ai fini del DSAR, e non si devono chiedere informazioni aggiuntive.
Dovete trovare il modo di verificare la loro identità utilizzando i dati che avete già raccolto da loro e non chiedere ulteriori dettagli, soprattutto dati personali sensibili.
Ad esempio, se avete raccolto solo il nome e l'indirizzo e-mail di una persona interessata, non chiedetele una copia del suo ID o della sua password solo per legittimarla.
Le modalità più comuni con cui le aziende verificano l'identità dei soggetti GDPR che presentano le DSAR includono:
- Porre domande basate sui dati già in vostro possesso;
- Utilizzando un metodo di convalida precedentemente confermato, come un indirizzo e-mail;
- Determinare gli ultimi modi in cui l'utente ha interagito con il vostro sito, prodotto o servizio.
Una volta accertato che l'interessato è chi dichiara di essere, si può passare alla fase successiva.
Fase 2: Informazioni da includere nella risposta
La vostra azienda deve quindi stabilire un processo per individuare e raccogliere in modo sicuro i dati dei consumatori quando risponde a una DSAR.
Assicuratevi di rispondere a tutti gli aspetti della richiesta; ad esempio, il richiedente potrebbe voler accedere ai propri dati e correggere un errore di battitura del proprio cognome.
Per semplificare questa fase, si consiglia di eseguire una verifica dei dati per individuare tutti i dati personali che la vostra azienda raccoglie e conserva.
Considerate queste linee guida per motivi legali e per prevenire potenziali violazioni dei dati:
- Limitare chi risponde alle DSAR e chi ha accesso ai dati personali;
- Sapere dove sono conservati tutti i dati personali, sia in formato digitale che fisico;
- Assicuratevi di individuare e includere tutti i dati richiesti dall'utente;
- Non conservate i dati personali più a lungo del necessario;
- Ma tenete un registro delle vostre risposte al DSAR in caso di un futuro audit.
In alcuni scenari, potrebbe anche essere necessario censurare parti delle informazioni che si stanno per divulgare quando si risponde a una richiesta.
Ad esempio, potreste farlo per proteggere i dati di un'altra persona che non è il richiedente. Potete divulgare i dati personali di un'altra persona solo se avete il suo consenso.
Fase 3: Tempi di risposta
Ai sensi del GDPR, avete un mese di tempo per rispondere a un DSAR, che può essere prorogato di altri due mesi se:
- La richiesta è complessa e avete bisogno di tempo per indagare;
- Ricevete più richieste e le vostre risorse sono limitate;
- La richiesta non è chiara e sono necessarie ulteriori informazioni.
Il GDPR delinea questa tempistica specifica per la risposta alle DSAR all'articolo 12, sezione 3.
Assicuratevi che le persone del vostro team responsabili di rispondere alle DSAR siano consapevoli di questi vincoli temporali.
Altrettanto importante è non aspettare l'ultimo giorno per fornire la risposta. Dovete rispondere il prima possibile entro il termine di un mese.
Come già detto, è di fondamentale importanza inviare una risposta che confermi che avete ricevuto la richiesta dell'interessato e che state lavorando alla vostra risposta; questo vi aiuta a soddisfare i requisiti delineati dal GDPR e rassicura il consumatore.
Fase 4: Rifiutare di rispondere
Il GDPR consente di rifiutarsi di rispondere a una DSAR in alcune circostanze e dovrebbe stabilire un processo per determinare quando una richiesta rientra in questi limiti.
Ad esempio, se la richiesta è irragionevole, eccessiva, manifestamente infondata o viola i diritti di privacy di un'altra persona, potete negarla.
Dovete informare tempestivamente il richiedente della vostra scelta e siete tenuti a dimostrare l'infondatezza della richiesta nel caso in cui un'autorità di controllo vi interroghi o l'interessato avvii una causa contro di voi dinanzi a un tribunale nazionale.
Gli interessati possono quindi presentare un ricorso contro la vostra decisione in base alla loro DSAR, quindi assicuratevi di avere un processo simile che sia altrettanto facile per i consumatori.
Fase 5: tenere un registro delle risposte
Infine, assicuratevi di tenere un registro di tutte le vostre risposte al DSAR, nel caso in cui un'autorità di vigilanza vi sottoponga a un audit o, come già detto, il caso venga portato dall'interessato davanti a un tribunale.
Tuttavia, non si dovrebbe conservare questo registro per un periodo di tempo indefinito. Un periodo di 12-24 mesi può essere considerato ragionevole.
Assicuratevi di archiviare queste informazioni in un ambiente sicuro, in modo che siano al riparo da violazioni dei dati e da accessi non autorizzati.
Utilizzo di Termly per i requisiti DSAR del GDPR
Se la vostra azienda ha bisogno di conformarsi al GDPR, la gestione del consenso Platform di gestione del consenso Platform diTermly vi fornisce un modulo DSAR incorporabile e gratuito che potete aggiungere direttamente al vostro sito web.
Il modulo DSAR consente ai vostri utenti di inserire dettagli essenziali per semplificare il processo di risposta, tra cui:
- Quale legge sulla privacy li protegge;
- Quale/i diritto/i si vuole perseguire;
- Quale indirizzo e-mail utilizzano per contattare il vostro sito web.
Il modulo incoraggia gli utenti a fornire informazioni sufficienti per poter verificare la loro identità ai sensi del GDPR e rispondere entro il termine di un mese.
Riassunto
Rispondere alle DSAR fa parte del corso per le aziende ai sensi del GDPR, ma navigare tra i requisiti è molto più facile se la vostra azienda implementa un processo interno formale di DSAR.
Assicuratevi che il vostro team sappia come verificare l'identità degli interessati che presentano le DSAR senza violare le regole e i principi del regolamento e rispondere alle DSAR entro il termine di un mese.
Semplificate ulteriormente la vostra attività e i consumatori fornendo loro un modulo DSAR accessibile sul vostro sito web.
Per saperne di più su chi scrive
Scritto da Teodor Stanciu, CIPP/E, CIPM
Teo è un Data Privacy Specialist e un esperto Data Protection Officer (DPO) che si occupa con passione di aiutare le aziende a rispettare gli obblighi di protezione dei dati. Ha un'esperienza di oltre sette anni come DPO per un'organizzazione internazionale attiva in 50 Paesi e con sede a Bruxelles, in Belgio. Teo è Certified Information Privacy Professional/Europe (CIPP/E) e Certified Information Privacy Manager (CIPM) presso l'International Association of Privacy Professionals (IAPP).
Per saperne di più su chi scrive
