O Problema do Volume de DSAR
O Artigo 12 do GDPR exige que as organizações respondam a Solicitações de Acesso de Titulares de Dados dentro de um mês, com uma possível extensão de dois meses para solicitações complexas. O prazo de um mês é absoluto — sem período de carência, sem exceção de boa-fé. A não conformidade com os prazos de resposta é sancionável independentemente das práticas de proteção de dados subjacentes.
Ações de aplicação da DPA em 2024 — a multa de €310 milhões da DPC irlandesa contra o LinkedIn por publicidade comportamental sem consentimento válido e €251 milhões contra o Meta por falhas na notificação de violação de dados — aumentaram significativamente a conscientização pública sobre os direitos dos titulares de dados. Após cada multa significativa, as DPAs normalmente realizam campanhas de conscientização acompanhando, e os volumes de DSAR aumentam à medida que os titulares de dados aprendem que têm direitos a serem exercidos.
O Quadro de Aplicação Coordenada do EDPB de 2024 focou nas falhas de direito de acesso — abordando diretamente a qualidade e a pontualidade das respostas de DSAR. Organizações que não conseguem demonstrar o processamento de DSAR em conformidade estão em risco elevado à medida que o foco da aplicação do EDPB se desloca para os direitos de acesso.
O Problema de PII de Terceiros
A preparação da resposta de DSAR tem uma complicação específica que multiplica a carga de trabalho manual: PII de terceiros.
Quando um titular de dados solicita todos os dados pessoais mantidos sobre ele, a organização deve fornecer as informações. Mas os registros mantidos sobre o titular de dados podem conter referências a outras pessoas — notas de atendimento ao cliente que mencionam outros clientes, cadeias de e-mail que incluem detalhes de contato de outros funcionários, registros de reclamações que referenciam terceiros. Fornecer esses registros ao titular de dados solicitante expõe os dados pessoais de terceiros em violação de seus direitos.
Uma resposta de DSAR em conformidade requer a revisão de cada documento no pacote de resposta em busca de PII de terceiros e a anonimização dessas referências antes do envio. Para uma empresa de telecomunicações com 300 DSARs por mês, cada uma envolvendo 50 notas de serviço e comunicações, isso significa revisar 15.000 documentos mensalmente em busca de referências de PII de terceiros — exclusivamente para conformidade com DSAR.
A revisão manual em tal escala não é viável dentro da janela de um mês do Artigo 12. Uma equipe de conformidade de três pessoas não pode revisar 15.000 documentos mensalmente junto com suas outras obrigações. A única abordagem escalável é o processamento em lote automatizado com uma configuração pré-definida para remoção de PII de terceiros.
A Arquitetura de Processamento em Lote
Uma configuração "resposta de DSAR" configurada para remoção de PII de terceiros: a configuração detecta todos os nomes de pessoas, informações de contato e referências identificadoras dentro dos documentos. Ela aplica anonimização a todas as referências detectadas, exceto aquelas que pertencem explicitamente ao titular de dados solicitante (identificado pelo nome e número da conta no início do trabalho em lote). Outros clientes nomeados nos registros, funcionários mencionados nas notas de serviço e terceiros citados na correspondência são anonimizados antes que o pacote de documentos seja montado para a resposta do titular de dados.
Processar 50 documentos por solicitação de DSAR leva minutos em vez de horas. A equipe de conformidade revisa a saída anonimizada para qualidade e casos extremos em vez de realizar a revisão inicial. O tempo de resposta de DSAR reduz de semanas para dias.
Fontes: