Solicitação de Acesso do Titular dos Dados (DSAR) para Conformidade com a CCPA e o GDPR

Entendendo a Solicitação de Acesso do Titular dos Dados

No mundo em que vivemos hoje, proteger dados pessoais é fundamental. As leis de privacidade de dados priorizam a transparência e o controle sobre as informações dos consumidores. DSARs – Solicitações de acesso do titular dos dados – desempenham um papel muito importante na manutenção da privacidade e da conformidade.

Em um recente enquete Uma pesquisa realizada pela EY revelou que 601 mil profissionais relataram um aumento nas solicitações de acesso a dados pessoais (DSARs) no último ano. Pouco mais da metade (511 mil) dos entrevistados afirmou ter recebido [informações adicionais necessárias]. reclamações de titulares de dados sobre como seus pedidos foram tratados.

Então, como sua organização pode ajudar? gerenciar essas solicitações de assunto e garantir a conformidade regulamentar?

O que é DSAR?

O Pedido de Acesso do Titular dos Dados é uma forma de dar aos indivíduos a propriedade de suas informações pessoais de acordo com as regulamentações de privacidade de dados, como por exemplo... GDPR (Regulamento Geral de Proteção de Dados) e CCPA (Lei de Privacidade do Consumidor da Califórnia). Essencialmente, essas regulamentações conferem aos indivíduos o direito de acessar e controlar seus dados pessoais mantidos por organizações. Isso inclui o direito à exclusão de algumas de suas informações e o direito ao esquecimento, no qual solicitam que todas as suas informações coletadas sejam apagadas.

Quem pode enviar uma solicitação DSAR?

Qualquer indivíduo cujos dados pessoais sejam mantidos por uma organização pode enviar uma solicitação de acesso aos dados. Isso inclui clientes, funcionários, pacientes, estudantes e outros. A solicitação também pode ser feita por um terceiro autorizado em nome do titular dos dados.

Submissão de uma solicitação do titular dos dados

Para submeter um pedido de acesso a dados pessoais (DSAR), o indivíduo geralmente precisa fornecer seu nome, informações de contato e detalhes sobre as informações que está solicitando. Isso pode incluir documentos ou dados específicos, ou uma solicitação geral de todos os dados pessoais mantidos pela organização.

Respondendo a uma solicitação de busca e apreensão de segurança (DSAR).

Após o envio de uma solicitação DSAR, a organização precisa responder de forma rápida e precisa, fornecendo ao indivíduo uma cópia de seus dados pessoais em um formato estruturado, comumente utilizado e legível por máquina. Isso pode incluir informações como nome, endereço, data de nascimento, informações de contato, informações financeiras, histórico profissional e quaisquer outros dados pessoais que a organização possua.

As empresas também são obrigadas a fornecer aos indivíduos informações adicionais sobre como seus dados pessoais estão sendo processados. Isso geralmente se dá por meio de um resumo de dados, que descreve as finalidades do processamento, as categorias de dados pessoais envolvidas e quaisquer terceiros com quem os dados possam ser compartilhados.

Recusar-se a responder a uma solicitação de acesso a dados pessoais (DSAR).

Você pode se recusar a responder a uma solicitação de acesso a dados pessoais (DSAR) se ela for infundada ou excessiva. Isso inclui situações em que o titular dos dados está usando o direito de acesso às suas informações para assediá-lo. Se as solicitações forem repetitivas, sem um intervalo razoável entre elas ou justificativa, você também pode se recusar a responder à solicitação de acesso a dados pessoais.

Atendimento de solicitações de acesso a dados pessoais (DSAR): Gerenciando respostas a solicitações de acesso a dados pessoais para conformidade com a privacidade de dados.

A gestão eficaz de solicitações de acesso a dados pessoais (DSAR, na sigla em inglês) vai além de simplesmente cumprir requisitos em uma lista de verificação de conformidade. Trata-se de incutir uma cultura de respeito pelos direitos de dados, responsabilidade pela gestão de dados e transparência nas práticas de dados.

As solicitações de acesso a dados pessoais (DSAR, na sigla em inglês) podem chegar de várias formas – desde um simples e-mail até uma solicitação formal por escrito. Independentemente do formato, sua organização deve estar preparada para lidar com essas solicitações de forma eficiente e transparente. Isso exige o estabelecimento de procedimentos claros para garantir um processamento rápido e transparente, independentemente do formato da solicitação. Embora os requisitos específicos possam variar dependendo da jurisdição regulatória e do seu setor, certos princípios comuns podem orientá-lo em sua abordagem.

Construir processos robustos de resposta a DSAR (Solicitações de Busca e Resgate de Dados).

Uma gestão eficaz de solicitações de acesso a dados pessoais (DSAR, na sigla em inglês) começa com o estabelecimento de processos e sistemas robustos. Trata-se de criar uma estrutura organizada que oriente cada etapa do processo de DSAR, desde o início da solicitação até a entrega da resposta. Essa estrutura deve ser flexível o suficiente para se adaptar a diferentes solicitações, garantindo consistência e conformidade em todas as etapas.

Desenvolva políticas abrangentes de Solicitação de Acesso a Dados Pessoais (DSAR, na sigla em inglês), descrevendo os procedimentos para envio de solicitações, prazos de resposta e mecanismos para verificação da identidade do solicitante. Essas políticas devem ser facilmente acessíveis aos indivíduos e comunicadas de forma clara aos funcionários responsáveis pelo tratamento das DSARs.

Considere os requisitos específicos do setor.

Embora os princípios fundamentais da gestão de solicitações de acesso a dados pessoais (DSAR) se apliquem a todos os setores, certos segmentos têm requisitos regulamentares ou normas específicas. Por exemplo, se você for uma empresa da área da saúde, terá que cumprir regulamentações adicionais de proteção de dados, como... HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde).

Designar um responsável (como um Encarregado da Proteção de Dados)

Por trás de todo processo de DSAR bem-sucedido, existe uma equipe de pessoas dedicadas que compreendem as complexidades da proteção de dados e da privacidade. Atribua a essas pessoas a responsabilidade pela gestão dos direitos dos titulares dos dados. Designe indivíduos ou equipes específicas para supervisionar os DSARs, garantindo a responsabilização e a consistência no tratamento das solicitações. Esses encarregados de proteção de dados (DPO) devem ser treinados em regulamentações de proteção de dados e receber as ferramentas necessárias para gerenciar as solicitações com eficácia.

Verificar a identidade de quem solicita acesso.

Implemente procedimentos robustos de acesso a dados para prevenir o acesso não autorizado e proteger informações sensíveis. Isso inclui o estabelecimento de medidas de autenticação seguras, protocolos de criptografia e controles de acesso para garantir que apenas pessoal autorizado possa manipular e acessar os dados solicitados. Além disso, esse direito de acesso deve ser avaliado periodicamente para minimizar permissões de acesso injustificadas ou excessivas.

A identidade do titular dos dados também deve ser autenticada para impedir que pessoas não autorizadas acessem informações pessoais sensíveis de terceiros. Dependendo da natureza da solicitação e das regulamentações aplicáveis, você pode exigir que os solicitantes forneçam comprovante de identidade antes de processar suas solicitações de acesso a dados pessoais.

Respeitar os prazos regulamentares

Diferentes jurisdições podem ter seus próprios prazos para responder a solicitações de acesso a dados pessoais (DSARs). Por exemplo, a conformidade com o GDPR exige que as DSARs sejam respondidas em até um mês, com a possibilidade de prorrogação em determinadas circunstâncias. Você deve se familiarizar com os requisitos específicos das normas de privacidade aplicáveis ao seu negócio e garantir o cumprimento dos prazos.

Fornecer orientação clara aos indivíduos

Os indivíduos têm o direito de acessar seus dados pessoais, mas precisam de orientações claras sobre como exercer esse direito de forma eficaz. Forneça aos indivíduos informações acessíveis e compreensíveis sobre como enviar uma solicitação, o que deve ser incluído em uma solicitação de acesso aos dados pessoais (DSAR), o que esperar durante o processo e como seus dados serão tratados e protegidos.

Manter registros detalhados

Mantenha um registro detalhado de todos os DSARs (Solicitações de Acesso a Dados Pessoais) que você recebeu e processou, incluindo a data de recebimento, a natureza da solicitação, as ações tomadas e quaisquer comunicações com o solicitante. Essa documentação o ajudará a... manter-se em conformidade com os requisitos regulamentares e permite rastrear e monitorar seus processos de DSAR de forma eficaz.

Com que rapidez você deve responder à solicitação de acesso a dados pessoais (DSAR)?

Regulamentos como o RGPD e o CCPA Estabelecer diretrizes e padrões claros para o gerenciamento de solicitações de acesso a dados pessoais (DSARs), incluindo prazos rigorosos para resposta e protocolos para fornecer acesso aos dados solicitados.

Nos termos do RGPD, Você deve responder a uma DSAR (Solicitação de Acesso a Dados Pessoais) no prazo de um mês após o recebimento.Embora seja possível obter uma prorrogação em determinadas circunstâncias, se você se recusar a cumprir esses prazos, estará sujeito a penalidades severas, incluindo multas de até € 20 milhões ou 41% da sua receita anual global, o que for maior.

Da mesma forma, a CCPA concede aos consumidores na Califórnia o direito de solicitar acesso aos seus dados pessoais. informações pessoais detido por empresas. Se você estiver sujeito à CCPA, deverá responder às solicitações de acesso a dados pessoais (DSARs) em até 45 dias., com disposições adicionais para prorrogação do prazo em determinadas circunstâncias.

Simplificando o processo DSAR: o caminho para a eficiência.

Crie um processo simplificado para otimizar o fluxo de trabalho desde o momento em que os titulares dos dados enviam a solicitação até o momento em que ela é atendida. Ao automatizar tarefas repetitivas e padronizar procedimentos, você pode aumentar significativamente a eficiência e minimizar o risco de erros. Aqui está um guia simples, passo a passo, sobre como otimizar os fluxos de trabalho de Solicitação de Acesso a Dados Pessoais (DSAR) de forma eficaz:

1. Identificar as principais tarefas: Identifique as principais tarefas de processamento de dados envolvidas no tratamento de DSARs, como verificar a identidade do solicitante, recuperar os dados solicitados, redigir informações sensíveise comunicando as respostas.
2. Planeje o fluxo de trabalho: Crie um mapa visual do fluxo de trabalho, descrevendo cada etapa, desde o início da solicitação até a entrega da resposta. Isso ajudará a identificar gargalos e ineficiências que podem ser resolvidos por meio da automação.
3. Implementar ferramentas de automação: Invista em ferramentas de automação e soluções de software DSAR. Essas ferramentas podem automatizar tarefas repetitivas, como recuperação e redação de dados, otimizando o processo e reduzindo o trabalho manual.
4. Padronizar os procedimentos: Desenvolver procedimentos e protocolos para lidar com solicitações de acesso a dados pessoais (DSARs) a fim de garantir consistência e precisão em todas as respostas. Definir claramente as funções e responsabilidades dentro da organização para facilitar a colaboração e a comunicação eficazes.
5. Sistemas Integrados: Conecte os sistemas de gerenciamento de DSAR (Solicitação de Acesso a Dados do Titular dos Serviços) com os repositórios de dados e a infraestrutura de TI existentes para agilizar a recuperação e o acesso aos dados. Isso elimina a necessidade de buscas manuais em diversas plataformas, economizando tempo e reduzindo o risco de erros.
6. Utilize modelos e respostas predefinidas: Respostas padronizadas para cenários comuns de DSAR (Solicitação de Acesso a Dados Pessoais) ajudam a agilizar o processo. Esses modelos podem ser personalizados conforme necessário para atender a solicitações específicas, mantendo a conformidade com os requisitos regulamentares.
7. Monitorar e avaliar o desempenho: Avalie regularmente o desempenho do seu fluxo de trabalho para identificar áreas que podem ser aprimoradas. Recolha feedback das partes interessadas e incorpore sugestões para otimizar a eficiência e a eficácia.

Siga estes passos e utilize ferramentas de automação para otimizar os processos de DSAR (Solicitação de Acesso do Titular dos Dados) e alcançar maior eficiência, reduzir o risco de erros e garantir respostas rápidas às solicitações dos titulares dos dados. Mantenha-se em conformidade com os requisitos regulamentares e promova a confiança e a transparência com seus consumidores.

A importância dos direitos do titular dos dados

A transparência nos pedidos de acesso do titular dos dados é crucial para as organizações, pois impacta diretamente a fidelidade e a confiança do cliente das seguintes maneiras:

• Conformidade com a privacidade de dados: Demonstrar transparência no tratamento de solicitações de acesso a dados pessoais indica que a organização leva a privacidade de dados a sério e cumpre as leis de proteção de dados relevantes. Os clientes tendem a confiar mais em uma empresa que respeita seus direitos e cumpre os requisitos legais.
• Capacitando os clientes: Ao proporcionar um processo claro e acessível para que os clientes solicitem e recebam seus dados pessoais, as organizações capacitam os clientes a terem maior controle sobre suas informações. Essa transparência demonstra respeito pelos direitos do cliente e fomenta a confiança.
• Segurança e confiança dos dados: O tratamento transparente dos pedidos de acesso a dados pessoais garante aos clientes que seus clientes terão acesso a informações confidenciais. Os dados estão seguros. e não serão utilizadas indevidamente. Essa confiança é essencial para manter um relacionamento positivo com os clientes, que esperam que seus dados sejam tratados com responsabilidade.
• Reputação da marca: Empresas reconhecidas por seu compromisso com a transparência e a privacidade de dados tendem a ter uma reputação de marca mais sólida. A percepção pública positiva e a confiança depositada nelas podem contribuir para a fidelização de clientes.
• Vantagem competitiva: Em um mundo onde a privacidade de dados é uma preocupação crescente, as organizações que se destacam na transparência das solicitações de acesso a dados pessoais (DSAR, na sigla em inglês) podem obter uma vantagem competitiva. Os clientes podem optar por fazer negócios com empresas que respeitam mais seus direitos de privacidade.
• Retenção de clientes: Quando os clientes sentem que seus dados são tratados de forma transparente e segura, é mais provável que permaneçam fiéis à organização. Uma experiência positiva com as solicitações de acesso a dados pessoais (DSARs) pode levar a relacionamentos de longo prazo com os clientes.
• Redução do risco de problemas legais: Ao lidar com as solicitações de acesso a dados pessoais (DSARs) de forma transparente e em conformidade com as regulamentações, as organizações reduzem o risco de ações judiciais e multas. Isso, por sua vez, pode proteger sua reputação e a confiança do cliente.

Automatize os processos de DSAR com IA.

Com o aumento do volume de solicitações DSAR, as organizações estão recorrendo a soluções de automação baseadas em... IA para otimizar ainda mais seus processos. Essas soluções podem auxiliar em tarefas como identificar dados relevantes, ocultar informações sensíveis e até mesmo prever possíveis solicitações de acesso a dados pessoais (DSARs) com base em padrões de dados históricos.

É claro que, embora a IA ofereça oportunidades de eficiência e precisão na gestão de solicitações de acesso a dados pessoais (DSAR, na sigla em inglês), ela também levanta importantes considerações éticas. As soluções baseadas em IA devem priorizar a privacidade e a transparência dos dados. Você deve garantir que sua solução automatizada de DSAR minimize o risco de viés algorítmico e proteja os direitos dos indivíduos.

A abordagem da BigID para promover a transparência de dados com os DSARs (Pedido de Acesso a Dados do Usuário)

A BigID é a plataforma líder do setor para privacidade, segurança e governança de dados, oferecendo descoberta de dados avançada e IA e ML de última geração para visibilidade e controle totais em nuvens híbridas e múltiplas.

Eis como a BigID pode ajudar com os DSARs:

• Identifique, classifique e conheça seus dados: A plataforma de descoberta de dados da BigID revela todos os dados estruturados e não estruturados, locais ou na nuvem, com múltiplos conectores. Obtenha inventário, mapeamento e classificação de dados mais rápidos em todo o seu ecossistema de dados — com maior conhecimento e contexto.
• Automatizar o cumprimento dos direitos de dados: Do acesso à exclusão — gerencie solicitações de acesso a dados pessoais (DSARs) de forma dinâmica e em grande escala com fluxos de trabalho de exclusão simplificados e relatórios de conformidade.
• Alavancagem da pontuação de risco: Pontuações baseadas em risco em diversos parâmetros de dados, como tipo e localização, proporcionando uma visão centrada no risco para que sua empresa possa ser proativa na redução de riscos.

Comece a economizar tempo e esforço manual, e garanta total conformidade com suas solicitações de acesso a dados pessoais (DSARs). Agende uma demonstração personalizada com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.