Crescimento de DSARs: processamento em lote para o RGPD
O artigo 12.º do RGPD estabelece um prazo de um mês. As organizações devem responder a pedidos de acesso a dados pessoais (DSAR) em 30 dias. Casos complexos recebem uma prorrogação de 60 dias. O prazo começa na receção do pedido. Não existe período de graça. Ultrapassar o prazo é, por si só, uma infração.
Em 2024, as coimas das APD tornaram os direitos dos titulares amplamente conhecidos. A DPC irlandesa multou o LinkedIn em 310 milhões de euros por publicidade comportamental sem consentimento válido. Multou a Meta em 251 milhões de euros por notificação tardia de violação de dados. Cada coima gerou uma campanha de sensibilização. Mais pessoas ficaram a saber dos seus direitos. O volume de DSAR aumentou.
O quadro de aplicação coordenada do EDPB 2024 focou-se nas falhas no direito de acesso. As organizações que não conseguem demonstrar um processamento correto de DSAR estão agora sob maior escrutínio.
Consulte o nosso resumo de conformidade e as nossas práticas de segurança para saber como apoiamos as obrigações do RGPD.
O problema dos dados pessoais de terceiros
As respostas a DSAR criam um problema específico: dados pessoais de terceiros.
Um titular de dados solicita todos os registos que lhe dizem respeito. Esses registos podem identificar outras pessoas. Uma nota de suporte pode incluir o número de telefone de outro cliente. Um fio de e-mails pode mostrar o endereço de um colega. Um registo de reclamação pode mencionar um terceiro. Enviar esses registos expõe dados de outras pessoas. Isso é uma violação separada dos direitos delas.
Deve rever cada documento. Deve remover as referências a terceiros antes do envio. Uma empresa de telecomunicações com 300 DSAR por mês e 50 documentos por pedido tem 15.000 documentos a rever mensalmente — apenas para a conformidade DSAR.
Uma equipa de três pessoas não consegue fazer isso. A revisão manual não cabe numa janela de um mês nessa escala.
Arquitetura de processamento em lote
Um preset de resposta a DSAR resolve este problema. O preset analisa cada documento. Encontra todos os nomes, contactos e outros identificadores. Anonimiza cada correspondência exceto as pertencentes à pessoa que fez o pedido. Introduz o nome e número de conta dessa pessoa no início do processo.
Os outros clientes mencionados nos registos são anonimizados. Os colaboradores citados em notas de serviço são anonimizados. Os terceiros em e-mails são anonimizados. Tudo isto acontece antes de montar o pacote de resposta.
Processar 50 documentos demora minutos, não horas. A equipa de conformidade revê os casos limite na saída. O tempo de resposta desce de semanas para dias.
Visite a nossa página de entidades para ver que tipos de dados o preset deteta por padrão.
O que torna um fluxo de trabalho defensável
Três aspetos tornam um fluxo de trabalho DSAR defensável.
Velocidade. As ferramentas em lote eliminam o estrangulamento que causa atrasos em volume.
Precisão. O preset deve remover dados de terceiros sem tocar nos dados do próprio titular. Um preset bem configurado gere esta distinção.
Registo de auditoria. O artigo 5.º, n.º 2, exige prova de conformidade. Os processos em lote registam quais documentos foram processados, qual preset foi usado e quando. Esse registo é a sua evidência.