Solicitação de acesso ao titular dos dados (DSAR) para conformidade com CCPA e GDPR

Compreendendo a solicitação de acesso do titular dos dados

No mundo em que vivemos hoje, proteger dados pessoais é importante. As leis de privacidade de dados priorizam a transparência e o controle sobre as informações dos consumidores. DSARs – Solicitações de acesso do titular dos dados – desempenham um papel muito importante na manutenção da privacidade e da conformidade.

Em um recente enquete realizado pela EY, 60% de profissionais relataram um aumento nos DSARs no último ano. Pouco mais da metade (51%) dos entrevistados afirmou ter recebido reclamações de titulares de dados sobre como suas solicitações foram tratadas.

Então, como pode a sua organização gerenciar essas solicitações de assunto e garantir a conformidade regulatória?

O que é DSAR?

A solicitação de acesso ao titular dos dados é uma forma de conceder aos indivíduos a propriedade de suas informações pessoais de acordo com os regulamentos de privacidade de dados, como GDPR (Regulamento Geral de Proteção de Dados) e CCPA (Lei de Privacidade do Consumidor da Califórnia). Essencialmente, essas regulamentações concedem aos indivíduos o direito de acessar e controlar seus dados pessoais mantidos por organizações. Isso inclui o direito de apagar algumas de suas informações e o direito de ser esquecido, caso solicitem que todas as informações coletadas sejam excluídas.

Quem pode enviar uma solicitação DSAR?

Qualquer indivíduo cujos dados pessoais sejam mantidos por uma organização pode enviar uma solicitação de titular de dados. Isso inclui clientes, funcionários, pacientes, estudantes e outros. A solicitação também pode ser feita por um terceiro autorizado em nome do titular dos dados.

Envio de uma solicitação do titular dos dados

Para enviar uma solicitação de DSAR, o indivíduo normalmente precisa fornecer seu nome, informações de contato e detalhes sobre as informações solicitadas. Isso pode incluir documentos ou pontos de dados específicos, ou uma solicitação geral para todos os dados pessoais mantidos pela organização.

Respondendo a um DSAR

Após o envio de uma solicitação de DSAR, a organização precisa responder de forma oportuna e precisa, fornecendo ao indivíduo uma cópia de seus dados pessoais em um formato estruturado, comumente usado e legível por máquina. Isso pode incluir informações como nome, endereço, data de nascimento, informações de contato, informações financeiras, histórico profissional e quaisquer outros dados pessoais que a organização possua.

As empresas também são obrigadas a fornecer aos indivíduos informações adicionais sobre como seus dados pessoais estão sendo processados. Isso geralmente assume a forma de um resumo de dados, que descreve as finalidades do processamento, as categorias de dados pessoais envolvidas e quaisquer terceiros com os quais os dados podem ser compartilhados.

Recusando-se a responder a um DSAR

Você pode se recusar a responder a uma DSAR se a solicitação for infundada ou excessiva. Isso inclui situações em que o titular usa o direito de acesso às suas informações para assediar você. Se as solicitações forem repetitivas, sem um intervalo razoável entre elas ou justificativa, você pode se recusar a responder a uma solicitação DSAR.

Cumprimento de DSAR: Gerenciando Respostas de DSAR para Conformidade de Privacidade de Dados

Uma gestão eficaz de DSAR envolve mais do que apenas cumprir requisitos em uma lista de verificação de conformidade. Trata-se de incutir uma cultura de respeito aos direitos de dados, responsabilidade pela administração de dados e transparência nas práticas de dados.

As solicitações de DSAR podem assumir diversos formatos – desde um simples e-mail até uma solicitação formal por escrito. Independentemente do formato, sua organização deve estar preparada para lidar com essas solicitações de forma eficiente e transparente. Isso requer o estabelecimento de procedimentos claros para garantir um tratamento ágil e transparente, independentemente do formato da solicitação. Embora os requisitos específicos possam variar dependendo da jurisdição regulatória e do seu setor, alguns princípios comuns podem orientá-lo em sua abordagem.

Crie processos robustos de resposta DSAR

Uma gestão eficaz do DSAR começa com o estabelecimento de processos e sistemas robustos. Trata-se de criar uma estrutura que oriente cada etapa da jornada do DSAR, desde o início da solicitação até a entrega da resposta. Essa estrutura deve ser flexível o suficiente para se adaptar a diferentes solicitações, garantindo consistência e conformidade em todas as etapas.

Desenvolver políticas abrangentes de DSAR, descrevendo os procedimentos para o envio de solicitações, os prazos de resposta e os mecanismos de verificação da identidade do solicitante. Essas políticas devem ser facilmente acessíveis aos indivíduos e comunicadas claramente aos funcionários responsáveis pelo tratamento de DSARs.

Considere os requisitos específicos do setor vertical

Embora os princípios fundamentais da gestão de DSAR se apliquem a todos os setores, certos setores têm requisitos regulatórios ou padrões específicos do setor. Por exemplo, se você for uma empresa de saúde, terá que cumprir regulamentações adicionais de proteção de dados, como HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde).

Designar pessoal responsável (como um responsável pela proteção de dados)

Por trás de cada processo de DSAR bem-sucedido, há uma equipe de pessoas dedicadas que entendem as complexidades da proteção de dados e da privacidade. Responsabilize essas pessoas pela gestão dos direitos dos titulares. Designe indivíduos ou equipes específicas para supervisionar os DSARs, a fim de garantir a responsabilização e a consistência no tratamento das solicitações. Esses responsáveis pela proteção de dados (DPO) devem ser treinados em normas de proteção de dados e receber as ferramentas necessárias para gerenciar as solicitações de forma eficaz.

Verifique a identidade de quem solicita acesso

Implemente procedimentos robustos de acesso a dados para impedir acessos não autorizados e proteger informações sensíveis. Isso inclui o estabelecimento de medidas de autenticação seguras, protocolos de criptografia e controles de acesso para garantir que somente pessoal autorizado possa manipular e acessar os dados solicitados. Além disso, esse direito de acesso deve ser avaliado periodicamente para minimizar permissões de acesso infundadas ou excessivas.

A identidade do titular dos dados também deve ser autenticada para evitar que a pessoa errada acesse informações pessoais sensíveis de outra pessoa. Dependendo da natureza da solicitação e das regulamentações aplicáveis, você pode exigir que os solicitantes apresentem comprovante de identidade antes de processar seus DSARs.

Cumpra os prazos regulamentares

Diferentes jurisdições podem ter seus próprios prazos para responder a DSARs. Por exemplo, a conformidade com o GDPR exige a resposta a DSARs no prazo de um mês, com possibilidade de prorrogação em determinadas circunstâncias. Você deve se familiarizar com os requisitos específicos das regulamentações de privacidade aplicáveis à sua empresa e garantir a conformidade em tempo hábil.

Fornecendo orientação clara aos indivíduos

Os indivíduos têm o direito de acessar seus dados pessoais, mas precisam de orientações claras sobre como exercer esse direito de forma eficaz. Forneça aos indivíduos informações acessíveis e compreensíveis sobre como enviar uma solicitação, o que deve constar em um DSAR, o que esperar durante o processo e como seus dados serão tratados e protegidos.

Manter registros detalhados

Mantenha um registro detalhado de todos os DSARs que você recebeu e processou, incluindo a data de recebimento, a natureza da solicitação, as medidas tomadas e quaisquer comunicações com o solicitante. Esta documentação ajuda você permanecer em conformidade com os requisitos regulatórios e permite que você acompanhe e monitore seus processos DSAR de forma eficaz.

Com que rapidez você deve responder ao DSAR?

Regulamentos como o GDPR e o CCPA estabelecer diretrizes e padrões claros para gerenciar DSARs, incluindo cronogramas rigorosos para resposta e protocolos para fornecer acesso aos dados solicitados.

De acordo com o RGPD, você deve responder a um DSAR dentro de um mês após o recebimento, embora você possa obter uma extensão em determinadas circunstâncias. Se você se recusar a responder para cumprir esses prazos, estará sujeito a penalidades severas, incluindo multas de até € 20 milhões ou 4% da sua receita anual global, o que for maior.

Da mesma forma, a CCPA concede aos consumidores na Califórnia o direito de solicitar acesso aos seus informações pessoais mantidas por empresas. Se você estiver sujeito ao CCPA, deverá responder aos DSARs em até 45 dias, com disposições adicionais para estender o prazo em determinadas circunstâncias.

Simplificando o processo DSAR: o caminho para a eficiência

Crie um processo simplificado para otimizar o fluxo de trabalho desde o momento em que os sujeitos enviam a solicitação até o momento em que ela é atendida. Automatizando tarefas repetitivas e padronizando procedimentos, você pode aumentar significativamente a eficiência e minimizar o risco de erros. Aqui está um guia passo a passo simples sobre como otimizar os fluxos de trabalho do DSAR de forma eficaz:

1. Identificar tarefas principais: Identificar as principais tarefas de processamento de dados envolvidas no tratamento de DSARs, como verificar a identidade do solicitante, recuperar os dados solicitados, redigindo informações confidenciais, e comunicar respostas.
2. Mapeie o fluxo de trabalho: Crie um mapa visual do fluxo de trabalho, descrevendo cada etapa, desde o início da solicitação até a entrega da resposta. Isso ajudará a identificar gargalos e ineficiências que podem ser resolvidos por meio da automação.
3. Implementar ferramentas de automação: Invista em ferramentas de automação e soluções de software DSAR. Essas ferramentas podem automatizar tarefas repetitivas, como recuperação e redação de dados, agilizando o processo e reduzindo a carga de trabalho manual.
4. Padronizar procedimentos: Desenvolver procedimentos e protocolos para lidar com DSARs a fim de garantir consistência e precisão em cada resposta. Definir claramente as funções e responsabilidades dentro da organização para facilitar a colaboração e a comunicação fluidas.
5. Integrar Sistemas: Conecte os sistemas de gerenciamento DSAR aos repositórios de dados e à infraestrutura de TI existentes para otimizar a recuperação e o acesso aos dados. Isso elimina a necessidade de buscas manuais de dados em diversas plataformas, economizando tempo e reduzindo o risco de erros.
6. Utilize modelos e respostas predefinidas: Respostas padronizadas para cenários comuns de DSAR ajudam a acelerar o processo. Esses modelos podem ser personalizados conforme necessário para atender a solicitações específicas, mantendo a conformidade com os requisitos regulatórios.
7. Monitorar e avaliar o desempenho: Avalie regularmente o desempenho do seu fluxo de trabalho para identificar áreas que precisam de melhorias. Colete feedback das partes interessadas e incorpore sugestões para otimizar a eficiência e a eficácia.

Siga estas etapas e utilize ferramentas de automação para otimizar os processos de DSAR, alcançar maior eficiência, reduzir o risco de erros e garantir respostas rápidas às solicitações dos titulares dos dados. Mantenha a conformidade com os requisitos regulatórios e promova confiança e transparência com seus consumidores.

A importância dos direitos dos titulares de dados

A transparência na solicitação de acesso ao titular dos dados é crucial para as organizações porque impacta diretamente a fidelidade e a confiança do cliente das seguintes maneiras:

• Conformidade com a privacidade de dados: Demonstrar transparência no tratamento de DSARs indica que a organização leva a privacidade de dados a sério e cumpre as leis de proteção de dados relevantes. Os clientes têm maior probabilidade de confiar em uma empresa que respeita seus direitos e cumpre os requisitos legais.
• Capacitando clientes: Ao oferecer um processo claro e acessível para que os clientes solicitem e recebam seus dados pessoais, as organizações capacitam os clientes a ter maior controle sobre suas informações. Essa transparência demonstra respeito pelos direitos dos clientes e promove a confiança.
• Segurança e confiança de dados: O tratamento transparente dos DSARs garante aos clientes que seus os dados estão seguros e não sejam utilizados indevidamente. Essa confiança é essencial para manter um relacionamento positivo com os clientes, que esperam que seus dados sejam tratados com responsabilidade.
• Reputação da marca: Empresas reconhecidas por seu compromisso com a transparência e a privacidade de dados provavelmente terão uma reputação de marca mais forte. A percepção positiva do público e a confiança podem contribuir para a fidelidade do cliente.
• Vantagem competitiva: Em um mundo onde a privacidade de dados é uma preocupação crescente, as organizações que se destacam na transparência do DSAR podem ganhar vantagem competitiva. Os clientes podem optar por fazer negócios com empresas que respeitam mais seus direitos de privacidade.
• Retenção de clientes: Quando os clientes sentem que seus dados são tratados de forma transparente e segura, é mais provável que permaneçam fiéis à organização. Uma experiência positiva com DSARs pode levar a relacionamentos duradouros com os clientes.
• Risco reduzido de problemas legais: Ao lidar com DSARs de forma transparente e em conformidade com as regulamentações, as organizações reduzem o risco de ações judiciais e multas. Isso, por sua vez, pode proteger sua reputação e a confiança do cliente.

Automatize processos DSAR com IA

À medida que o volume de solicitações DSAR cresce, as organizações estão recorrendo a soluções de automação alimentadas por IA para otimizar ainda mais seus processos. Essas soluções podem auxiliar em tarefas como identificar dados relevantes, redigir informações confidenciais e até mesmo prever potenciais DSARs com base em padrões históricos de dados.

É claro que, embora a IA ofereça oportunidades de eficiência e precisão na gestão de DSAR, ela também levanta importantes considerações éticas. Soluções baseadas em IA devem priorizar a privacidade e a transparência dos dados. Você deve garantir que sua solução automatizada de DSAR mitigue o risco de viés algorítmico e proteja os direitos dos indivíduos.

Abordagem da BigID para fortalecer a transparência de dados com DSARs

BigID é a plataforma líder do setor em privacidade, segurança e governança de dados, oferecendo descoberta profunda de dados e IA e ML de última geração para visibilidade e controle totais em toda a nuvem híbrida e múltipla.

Veja como o BigID pode ajudar com DSARs:

• Identifique, classifique e conheça seus dados: A base de descoberta de dados da BigID revela todos os dados estruturados e não estruturados, no local ou na nuvem, com múltiplos conectores. Obtenha inventário, mapeamento e classificação de dados mais rápidos em todo o seu ecossistema de dados — com mais insights e contexto.
• Automatize o cumprimento dos direitos de dados: Do acesso à exclusão — gerencie DSARs dinamicamente em escala com fluxos de trabalho de exclusão simplificados e relatórios de conformidade.
• Alavancagem de pontuação de risco: Pontuações baseadas em risco em uma variedade de parâmetros de dados, como tipo e localização de dados, fornecendo uma visão centrada no risco dos dados para que sua empresa possa ser proativa na redução de riscos.

Comece a economizar tempo, esforço manual e garanta total conformidade com seus DSARs. Faça uma demonstração individual com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.