Il Problema del Volume delle DSAR
L'Articolo 12 del GDPR richiede alle organizzazioni di rispondere alle Richieste di Accesso da Parte degli Interessati entro un mese, con una possibile estensione di due mesi per richieste complesse. Il termine di un mese è assoluto: nessun periodo di grazia, nessuna eccezione di buona fede. La non conformità con i tempi di risposta è sanzionabile indipendentemente dalle pratiche di protezione dei dati sottostanti.
Le principali azioni di enforcement da parte delle autorità nel 2024 — la multa di 310 milioni di euro contro LinkedIn per pubblicità comportamentale senza consenso valido e 251 milioni contro Meta per fallimenti nella notifica di violazione dei dati — hanno aumentato significativamente la consapevolezza pubblica dei diritti degli interessati. Dopo ogni multa importante, le autorità di protezione dei dati solitamente avviano campagne di sensibilizzazione, e i volumi delle DSAR aumentano man mano che gli interessati apprendono di avere diritti da esercitare.
Il Quadro di Enforcement Coordinato dell'EDPB del 2024 si è concentrato sui fallimenti nel diritto di accesso — affrontando direttamente la qualità e la tempestività delle risposte alle DSAR. Le organizzazioni che non possono dimostrare un'elaborazione conforme delle DSAR sono a rischio maggiore poiché l'attenzione dell'EDPB si sposta sui diritti di accesso.
Il Problema dei Dati Personali di Terzi
La preparazione della risposta alle DSAR presenta una complicazione specifica che moltiplica il carico di lavoro manuale: i dati personali di terzi.
Quando un interessato richiede tutti i dati personali detenuti su di lui, l'organizzazione deve fornire l'informazione. Ma i documenti detenuti sull'interessato possono contenere riferimenti ad altre persone — note di servizio clienti che menzionano altri clienti, thread di email che includono i dettagli di contatto di altri dipendenti, registri di reclami che fanno riferimento a terzi. Fornire questi documenti all'interessato richiederebbe di esporre i dati personali di terzi in violazione dei loro diritti.
Una risposta conforme alle DSAR richiede di esaminare ogni documento nel pacchetto di risposta per i dati personali di terzi e di anonimizzare quei riferimenti prima di inviare. Per un'azienda di telecomunicazioni con 300 DSAR al mese, ognuna delle quali coinvolge 50 note di servizio e comunicazioni, ciò significa esaminare 15.000 documenti mensili per riferimenti ai dati personali di terzi — esclusivamente per la conformità alle DSAR.
La revisione manuale su questa scala non è fattibile entro il termine di un mese dell'Articolo 12. Un team di conformità di tre persone non può esaminare 15.000 documenti mensili insieme ai loro altri obblighi. L'unico approccio scalabile è l'elaborazione automatizzata in batch con un preset configurato per la rimozione dei dati personali di terzi.
L'Architettura di Elaborazione in Batch
Un preset "risposta DSAR" configurato per la rimozione dei dati personali di terzi: il preset rileva tutti i nomi delle persone, le informazioni di contatto e i riferimenti identificativi all'interno dei documenti. Applica l'anonimizzazione a tutti i riferimenti rilevati tranne quelli esplicitamente appartenenti all'interessato che richiede (identificato per nome e numero di conto all'inizio del lavoro in batch). Altri clienti nominati nei documenti, dipendenti menzionati nelle note di servizio e terzi citati nella corrispondenza vengono anonimizzati prima che il pacchetto di documenti venga assemblato per la risposta dell'interessato.
L'elaborazione di 50 documenti per richiesta DSAR richiede minuti piuttosto che ore. Il team di conformità esamina l'output anonimizzato per qualità e casi limite piuttosto che eseguire la revisione iniziale. Il tempo di risposta alle DSAR si riduce da settimane a giorni.
Fonti:
- Autorità irlandese per la protezione dei dati ottobre 2024: multa di 310 milioni di euro contro LinkedIn per pubblicità comportamentale senza consenso
- EDPB 2024: Quadro di Enforcement Coordinato focus sul diritto di accesso
- GDPR Articolo 12: requisiti e scadenze per la risposta ai diritti degli interessati