El problema del volumen de DSAR
El Artículo 12 del GDPR requiere que las organizaciones respondan a las Solicitudes de Acceso de Sujetos de Datos dentro de un mes, con una posible extensión de dos meses para solicitudes complejas. El reloj de un mes es absoluto: no hay período de gracia, no hay excepción de buena fe. El incumplimiento de los plazos de respuesta es sancionable independientemente de las prácticas de protección de datos subyacentes.
Las principales acciones de aplicación de la DPA en 2024 — la multa de 310 millones de EUR contra LinkedIn por publicidad conductual sin consentimiento válido y 251 millones contra Meta por fallos en la notificación de violaciones de datos — generaron una significativa conciencia pública sobre los derechos de los sujetos de datos. Tras cada multa importante, las DPA suelen llevar a cabo campañas de concienciación acompañantes, y los volúmenes de DSAR aumentan a medida que los sujetos de datos aprenden que tienen derechos que ejercer.
El Marco de Aplicación Coordinada de la EDPB de 2024 se centró en los fallos del derecho de acceso — abordando directamente la calidad y la puntualidad de las respuestas a los DSAR. Las organizaciones que no pueden demostrar un procesamiento de DSAR conforme corren un riesgo elevado a medida que el enfoque de aplicación de la EDPB se desplaza hacia los derechos de acceso.
El problema de la PII de terceros
La preparación de la respuesta a los DSAR tiene una complicación específica que multiplica la carga de trabajo manual: la PII de terceros.
Cuando un sujeto de datos solicita todos los datos personales que se tienen sobre él, la organización debe proporcionar la información. Pero los registros que se tienen sobre el sujeto de datos pueden contener referencias a otras personas: notas de servicio al cliente que mencionan a otros clientes, hilos de correo electrónico que incluyen los datos de contacto de otros empleados, registros de quejas que hacen referencia a terceros. Proporcionar estos registros al sujeto de datos solicitante expone los datos personales de los terceros en violación de sus derechos.
Una respuesta a DSAR conforme requiere revisar cada documento en el paquete de respuesta en busca de PII de terceros y anonimizar esas referencias antes de enviarlas. Para una empresa de telecomunicaciones con 300 DSAR por mes, cada uno involucrando 50 notas de servicio y comunicaciones, esto significa revisar 15,000 documentos mensualmente en busca de referencias de PII de terceros — exclusivamente para el cumplimiento de DSAR.
La revisión manual a esta escala no es factible dentro del plazo de un mes del Artículo 12. Un equipo de cumplimiento de tres personas no puede revisar 15,000 documentos mensualmente junto con sus otras obligaciones. El único enfoque escalable es el procesamiento por lotes automatizado con un preset configurado para la eliminación de PII de terceros.
La arquitectura de procesamiento por lotes
Un preset de "respuesta a DSAR" configurado para la eliminación de PII de terceros: el preset detecta todos los nombres de personas, información de contacto y referencias identificativas dentro de los documentos. Aplica anonimización a todas las referencias detectadas, excepto aquellas que pertenecen explícitamente al sujeto de datos solicitante (identificado por nombre y número de cuenta al inicio del trabajo por lotes). Otros clientes nombrados en los registros, empleados mencionados en las notas de servicio y terceros mencionados en la correspondencia son anonimizados antes de que se ensamble el paquete de documentos para la respuesta del sujeto de datos.
Procesar 50 documentos por solicitud de DSAR toma minutos en lugar de horas. El equipo de cumplimiento revisa la salida anonimizadora por calidad y casos límite en lugar de realizar la revisión inicial. El tiempo de respuesta a DSAR se reduce de semanas a días.
Fuentes: