Ondata di DSAR: L'Elaborazione Batch per la Conformità al GDPR
L'articolo 12 del GDPR fissa un termine di un mese. Le organizzazioni devono rispondere alle Richieste di Accesso degli Interessati (DSAR) entro 30 giorni. I casi complessi ottengono una proroga di 60 giorni. Il conteggio inizia dalla ricezione della richiesta. Non è previsto alcun periodo di grazia. Il mancato rispetto del termine costituisce di per sé una violazione.
Nel 2024, le sanzioni delle Autorità di protezione dei dati hanno reso ampiamente noti i diritti in materia di dati. L'Autorità irlandese per la protezione dei dati ha multato LinkedIn per 310 milioni di euro per aver utilizzato la pubblicità comportamentale senza consenso valido. Ha poi sanzionato Meta per 251 milioni di euro per la mancata notifica tempestiva di una violazione dei dati. Ogni multa ha innescato campagne di sensibilizzazione. Un numero crescente di persone ha scoperto di avere diritti. I volumi delle DSAR sono aumentati.
Il Quadro di Controllo Coordinato dell'EDPB del 2024 si è concentrato sulle carenze nel diritto di accesso. Le organizzazioni che non riescono a dimostrare la correttezza della gestione delle DSAR sono ora soggette a maggiore scrutinio.
Consulta il nostro riepilogo sulla conformità e le pratiche di sicurezza per capire come supportiamo gli obblighi GDPR.
Il Problema dei Dati Personali di Terzi
Le risposte alle DSAR creano un problema specifico: i dati personali di terze parti.
Un interessato richiede tutte le registrazioni che lo riguardano. Quelle registrazioni possono nominare altre persone. Una nota di supporto può includere il numero di telefono di un altro cliente. Un'e-mail può rivelare l'indirizzo di un collega. Una segnalazione di reclamo può citare una terza parte. Inviare quei documenti equivale a esporre i dati di altre persone — una violazione separata dei loro diritti.
È necessario esaminare ogni documento e rimuovere i riferimenti a terzi prima dell'invio. Una società di telecomunicazioni che gestisce 300 DSAR al mese si trova a dover esaminare circa 50 documenti per richiesta — ovvero 15.000 documenti al mese, solo per la conformità alle DSAR.
Un team di tre persone non può farcela. La revisione manuale non è compatibile con una finestra temporale di un mese a questi volumi.
Architettura di Elaborazione Batch
Un preset per le risposte alle DSAR risolve questo problema. Il preset analizza ogni documento, individua nomi di persone, dettagli di contatto e altri identificativi, e anonimizza ogni corrispondenza tranne quelle relative alla persona che ha fatto richiesta — il cui nome e numero di account vengono inseriti all'avvio del processo.
Gli altri clienti nominati nei documenti vengono anonimizzati. I dipendenti citati nelle note di servizio vengono anonimizzati. Le terze parti nelle e-mail vengono anonimizzate. Tutto questo avviene prima dell'assemblaggio del pacchetto documentale.
L'elaborazione di 50 documenti richiede minuti, non ore. Il team di conformità verifica l'output per i casi limite. I tempi di risposta si riducono da settimane a giorni.
Visita la nostra pagina sulle entità per scoprire quali tipi di dati il preset rileva per impostazione predefinita.
Cosa Rende un Processo Difendibile
Tre elementi rendono un processo DSAR difendibile.
Rapidità. Gli strumenti batch eliminano il collo di bottiglia che causa ritardi su larga scala.
Accuratezza. Il preset deve rimuovere i dati personali di terzi senza intaccare le registrazioni dell'interessato richiedente. Un preset ben configurato gestisce questa distinzione.
Audit trail. L'articolo 5, paragrafo 2, richiede la prova della conformità. Le elaborazioni batch registrano quali documenti sono stati trattati, quale preset è stato utilizzato e quando. Questo registro costituisce la tua documentazione probatoria.