What is a DSAR under GDPR?

A Data Subject Access Request (DSAR) is a right under GDPR Article 15 allowing any individual to request a copy of the personal data an organization holds about them. Organizations must respond within 30 days, provide the data in an accessible format, and include information about processing purposes, retention periods, and third-party recipients. Requests can arrive through any channel, including email, web forms, or verbal communication.

How should organizations verify identity for a DSAR?

Identity verification must be proportionate to the sensitivity of the data involved. For routine requests, confirming details already on file like email address and account information is usually sufficient. For sensitive data, organizations may request a government-issued ID copy. Verification should not be used as a barrier to delay responses. Article 12 allows organizations to request additional information only when there are reasonable doubts about the requester's identity.

Trattamento Legittimo delle DSAR

Process a data subject access request end to end.

Cos’è Trattamento Legittimo delle DSAR?

Una richiesta di accesso dell'interessato (DSAR) è il diritto ai sensi dell'Articolo 15 del GDPR per qualsiasi individuo di ottenere la conferma che i propri dati personali siano o meno in corso di trattamento, e in caso affermativo, di ricevere una copia di tali dati insieme a specifiche informazioni supplementari. Le organizzazioni devono rispondere entro un mese di calendario dalla ricezione della richiesta. Questo esercizio simula una DSAR realistica da parte di un cliente che desidera tutti i dati personali che la tua organizzazione detiene su di lui. Inizi verificando l'identità del richiedente senza richiedere documentazione eccessiva, un errore comune che può a sua volta violare i requisiti di proporzionalità del GDPR. Poi cerchi attraverso molteplici sistemi: il tuo CRM, gli archivi email, i ticket di assistenza, le piattaforme di analitiche e i database di backup. La sfida è la completezza. Le autorità di controllo si aspettano che tu individui i dati in ogni sistema dove esistono, inclusi luoghi spesso trascurati dai team come i messaggi su Slack, le unità condivise e le integrazioni con terze parti. Compilerai il pacchetto di risposta, decidendo cosa includere e cosa potrebbe essere esente per privilegio legale o protezione del segreto commerciale. L'esercizio copre anche le procedure pratiche di oscuramento dei dati personali di terzi che compaiono insieme ai record del richiedente. Le organizzazioni che elaborano volumi elevati di DSAR riportano una spesa media di 10-20 ore per richiesta quando i sistemi non sono ben organizzati, rendendo questa sia un obbligo di conformità sia una sfida operativa su cui vale la pena formarsi.

Cosa imparerai in Trattamento Legittimo delle DSAR

Verificare l'identità del richiedente utilizzando misure proporzionate senza richiedere documentazione personale eccessiva
Individuare i dati personali in tutti i sistemi organizzativi inclusi CRM, email, analitiche e database di backup
Applicare correttamente le esenzioni per materiale coperto da privilegio legale e dati personali di terzi in registri condivisi
Compilare un pacchetto di risposta completo che soddisfi tutti i requisiti informativi dell'Articolo 15 entro il termine di 30 giorni
Identificare i colli di bottiglia operativi nel processo DSAR e implementare efficientamenti per le richieste ricorrenti

Trattamento Legittimo delle DSAR — Fasi della formazione

Introduzione

Oggi elaborerai una DSAR legittima da un cliente verificato, una richiesta che richiede un'attenta attenzione alle scadenze, al rilevamento dei dati e alla redazione di terze parti.
Ricevuta DSAR

Alice riceve una nuova email nella sua casella di posta di lavoro. La riga dell'oggetto indica che si tratta di una richiesta formale di accesso dell'interessato. L'e-mail proviene da jennifer.martinez@acme-corp.com, un cliente verificato la cui azienda ha un contratto attivo con CloudServe Technologies.
Verifica dell'identità

Prima di elaborare la richiesta, Alice deve verificare che la persona che effettua la richiesta sia effettivamente Jennifer Martinez. Tuttavia, il GDPR richiede che la verifica sia proporzionata: Alice non dovrebbe creare barriere eccessive. Poiché la richiesta proviene da un indirizzo e-mail già associato all'account cliente e include l'ID cliente corretto, Alice ha una ragionevole garanzia dell'identità.
Registrazione della richiesta

Alice accede alla coda DSAR nel portale privacy. Vede che la richiesta di Jennifer è stata registrata automaticamente con la data odierna, che avvia il periodo di risposta di 30 giorni. Il sistema mostra tutte le informazioni necessarie per verificare l'identità del richiedente rispetto ai record esistenti del cliente.
Invio di conferma

Una volta verificata l'identità, Alice deve ora inviare un'e-mail di conferma a Jennifer. Ciò conferma la ricezione della richiesta e definisce le aspettative per la tempistica della risposta. Una buona pratica è riconoscere tempestivamente le DSAR, anche se il GDPR non lo richiede strettamente.
Scoperta dei dati

Ora Alice deve cercare i dati personali di Jennifer in tutti i sistemi aziendali. Il GDPR richiede di fornire tutti i dati personali conservati sull'individuo, non solo luoghi ovvi come il CRM. Alice deve controllare: record CRM, ticket di supporto, sistemi di fatturazione, comunicazioni e-mail, registri di sistema ed eventuali backup che potrebbero contenere dati personali.
Esecuzione della ricerca dati

Alice inserisce l'indirizzo email di Jennifer per eseguire la ricerca in tutti i sistemi connessi. Il portale della privacy interroga automaticamente il CRM, il sistema di ticketing di supporto, la piattaforma di fatturazione e i registri di accesso. La ricerca restituisce dati da più fonti, alcune contenenti solo i dati di Jennifer e altre contenenti anche dati su altri individui.
Chiamata al supervisore - Requisiti di redazione

Durante l'esame dei risultati della ricerca, Alice nota che diversi ticket di supporto contengono dati su altri dipendenti ACME Corp che erano in CC sulle comunicazioni. Ha bisogno di indicazioni su come gestire i dati di terze parti. Chiama il suo supervisore, David Chen, per discutere i requisiti di redazione.
Revisione e redazione dei dati

Seguendo la guida di David, Alice esamina l'esportazione dei dati compilati. Identifica diverse informazioni che necessitano di oscuramento: - Indirizzi email di altri dipendenti ACME Corp nelle discussioni sui ticket di supporto - Nomi dei membri dello staff CloudServe che hanno gestito i casi di supporto - ID dei ticket interni che potrebbero esporre i dati di altri clienti Alice deve fornire a Jennifer tutti i propri dati proteggendo la privacy degli altri.
Applicazione delle redazioni

Alice esamina attentamente ciascuna fonte di dati e applica correzioni per proteggere le informazioni di terze parti. Il portale della privacy aiuta evidenziando potenziali dati di terze parti, ma Alice deve prendere la decisione finale su ogni oscuramento. Si assicura che tutti i dati personali di Jennifer rimangano visibili mentre le informazioni di altri individui siano adeguatamente oscurate.

Cos’è Trattamento Legittimo delle DSAR?

Cosa imparerai in Trattamento Legittimo delle DSAR

Trattamento Legittimo delle DSAR — Fasi della formazione

Introduzione

Ricevuta DSAR

Verifica dell'identità

Registrazione della richiesta

Invio di conferma

Scoperta dei dati

Esecuzione della ricerca dati

Chiamata al supervisore - Requisiti di redazione

Revisione e redazione dei dati

Applicazione delle redazioni