Oleada de DSARs: procesamiento por lotes para el cumplimiento del RGPD
El artículo 12 del RGPD establece un plazo de un mes. Las organizaciones deben responder a las solicitudes de acceso a datos personales (DSAR) en 30 días. Los casos complejos reciben una prórroga de 60 días. El plazo comienza al recibir la solicitud. No existe período de gracia. Superar el plazo es una infracción por sí misma.
En 2024, las multas de las APD dieron a conocer ampliamente los derechos de los interesados. La DPC irlandesa multó a LinkedIn con 310 millones de euros por publicidad conductual sin consentimiento válido. Multó a Meta con 251 millones de euros por no notificar una violación de datos a tiempo. Cada multa trajo una campaña de concienciación. Más personas conocieron sus derechos. El volumen de DSAR aumentó.
El marco de aplicación coordinado del EDPB 2024 se centró en los fallos en el derecho de acceso. Las organizaciones que no pueden demostrar un procesamiento correcto de DSAR enfrentan ahora mayor escrutinio.
Consulte nuestro resumen de cumplimiento y nuestras prácticas de seguridad para conocer cómo apoyamos las obligaciones del RGPD.
El problema de los datos personales de terceros
Las respuestas a las DSAR tienen un problema específico: los datos personales de terceros.
Un interesado solicita todos los registros que se conservan sobre él. Esos registros pueden mencionar a otras personas. Una nota de soporte puede incluir el número de teléfono de otro cliente. Un hilo de correos puede mostrar la dirección de un compañero. Un expediente de reclamación puede citar a un tercero. Enviar esos registros expone los datos de otras personas. Eso es una infracción separada de sus derechos.
Debe revisar cada documento. Debe eliminar las referencias a terceros antes de enviarlos. Una empresa de telecomunicaciones con 300 DSAR al mes y 50 documentos por solicitud tiene 15.000 documentos que revisar cada mes, solo para el cumplimiento de las DSAR.
Un equipo de tres personas no puede hacer eso. La revisión manual no cabe en una ventana de un mes a esa escala.
Arquitectura de procesamiento por lotes
Un preset de respuesta a DSAR resuelve esto. El preset analiza cada documento. Encuentra todos los nombres, datos de contacto y otros identificadores. Anonimiza cada coincidencia excepto las que pertenecen a la persona solicitante. Usted introduce el nombre y número de cuenta de esa persona al inicio del trabajo.
Los demás clientes mencionados en los registros son anonimizados. Los empleados citados en notas de servicio son anonimizados. Los terceros en correos electrónicos son anonimizados. Todo esto ocurre antes de ensamblar el paquete de documentos.
Procesar 50 documentos lleva minutos, no horas. El equipo de cumplimiento revisa la salida en busca de casos límite. El tiempo de respuesta baja de semanas a días.
Visite nuestra página de entidades para ver qué tipos de datos detecta el preset por defecto.
Lo que hace defendible un flujo de trabajo
Tres aspectos hacen defendible un flujo de trabajo DSAR.
Velocidad. Las herramientas por lotes eliminan el cuello de botella que genera retrasos en volumen.
Precisión. El preset debe eliminar los datos de terceros sin tocar los propios datos del interesado. Un preset bien configurado gestiona esta distinción.
Registro de auditoría. El artículo 5(2) exige prueba de cumplimiento. Los procesos por lotes registran qué documentos se procesaron, qué preset se usó y cuándo. Ese registro es su evidencia.