I migliori consigli su come rispondere a una richiesta di accesso dell'interessato

Se la tua azienda riceve una richiesta di accesso all'interessato (DSAR), è importante rispondere tempestivamente e correttamente. Il mancato rispetto di questa precauzione può comportare sanzioni da parte dell'Information Commissioner's Office (ICO). In questo post del blog, ti forniremo suggerimenti su come rispondere ai DSAR in modo tempestivo ed efficiente.

Che cos'è una richiesta di accesso dell'interessato (DSAR)?

Fonte

DSAR è una richiesta da parte di un individuo di informazioni su se stesso detenute da un'organizzazione. Ciò potrebbe includere il loro nome, i dettagli di contatto o qualsiasi altro dato personale che l'organizzazione ha in archivio. Il GDPR offre alle persone il diritto di fare un DSAR e le organizzazioni devono rispondere entro un mese.

Se un individuo effettua verbalmente un DSAR, l'organizzazione deve fornire loro una conferma scritta entro cinque giorni. Ci sono alcune eccezioni al diritto di fare un DSAR, tra cui la sicurezza nazionale o le indagini penali. Tuttavia, nella maggior parte dei casi, le persone hanno il diritto di accedere ai propri dati. In caso di domande sulla creazione di un DSAR, contattare l'autorità locale per la protezione dei dati.

Suggerimenti chiave per rispondere a un DSAR

Ecco dieci suggerimenti per aiutarti a rispondere in modo efficace:

• Leggi attentamente il DSAR: quando ricevi un DSAR, prenditi del tempo per leggerlo attentamente. Questo ti aiuterà a capire quali informazioni l'individuo sta richiedendo e se puoi fornirle o meno.
• Controlla l'identità del richiedente: prima di soddisfare qualsiasi DSAR, dovresti controllare l'identità del richiedente per assicurarti che sia chi dice di essere. Questo può essere fatto chiedendo un documento d'identità rilasciato dal governo o confermando la loro identità con un altro metodo.
• Determina se la richiesta è valida: una volta verificata l'identità del richiedente, sarà necessario determinare se la richiesta è valida. Ciò significa garantire che l'individuo abbia il diritto di accedere alle informazioni richieste ai sensi della legge sulla protezione dei dati.
• Raccogli le informazioni richieste: se stabilisci che il DSAR è valido, dovrai raccogliere le informazioni richieste. Ciò potrebbe richiedere la collaborazione con altri dipartimenti o individui all'interno dell'organizzazione che hanno accesso ai dati rilevanti.
• Prepara la risposta: una volta raccolte tutte le informazioni richieste, dovrai preparare la tua risposta. Ciò dovrebbe includere una lettera di accompagnamento che delinei le informazioni fornite e tutta la documentazione di supporto.
• Esamina la risposta: prima di inviare la tua risposta, dovresti esaminarla per assicurarti che tutte le informazioni richieste siano incluse e accurate. Dovresti anche verificare che nulla nella risposta possa potenzialmente danneggiare l'individuo o i suoi dati.
• Invia la risposta: dopo aver esaminato e finalizzato la tua risposta, dovrai inviarla al richiedente. Questo può essere fatto per posta, e-mail o un altro metodo specificato nel DSAR.
• Conserva un registro della richiesta e della risposta: è importante tenere un registro sia del DSAR che della tua risposta in caso di domande o problemi. Questo ti aiuterà anche a tenere traccia di tutti i DSAR che hai ricevuto ea cui hai risposto.
• Cerca aiuto se ne hai bisogno: se non sei sicuro di come rispondere a un DSAR o hai altre domande, dovresti chiedere aiuto a un professionista qualificato della protezione dei dati. Saranno in grado di consigliarti sul modo migliore per procedere e garantire che la tua risposta sia conforme alla legge sulla protezione dei dati.
• Mantienilo semplice e chiaro : l'individuo ha il diritto di sapere quali dati personali sono detenuti su di loro, perché vengono conservati e come vengono utilizzati. Dovresti fornire queste informazioni in modo chiaro e conciso.
• Sii trasparente: sii sincero riguardo al processo e a ciò che l'individuo può aspettarsi da te. Fai sapere loro se ci saranno ritardi nell'adempimento della loro richiesta e perché.
• Non cercare di nascondere nulla: l'individuo ha diritto a tutte le informazioni che detieni su di lui, quindi non cercare di nascondere nulla. Ciò danneggerà solo il tuo rapporto con l'individuo e potrebbe portare ad azioni legali.
• Mantieni la riservatezza: tutte le informazioni fornite in risposta a una richiesta di accesso dell'interessato devono essere riservate. Ciò include sia la richiesta stessa che le informazioni fornite in risposta.
• Rispondere entro il limite di tempo : è necessario rispondere a una richiesta di accesso dell'interessato entro un mese dalla ricezione. Se non riesci a rispettare questa scadenza, informa la persona e spiega perché.
• Fornire le informazioni in un formato di facile comprensione : l'individuo ha diritto a ricevere i propri dati in un formato facilmente leggibile e comprensibile. Evita il gergo o il linguaggio tecnico ove possibile.
• Non fare supposizioni : ogni richiesta di accesso dell'interessato è diversa. Non fare supposizioni su ciò che l'individuo vuole o ha bisogno o su come utilizzerà le informazioni che fornisci.

Quali informazioni dovrebbero essere incluse in una risposta DSAR

Fonte

Una risposta alla richiesta di accesso dell'interessato (DSAR) dovrebbe includere tutti i dati personali detenuti su un individuo. Questi dati dovrebbero includere tutte le informazioni che potrebbero essere utilizzate per identificare una persona, come nome, indirizzo, data di nascita o dettagli di contatto.

Inoltre, la risposta dovrebbe includere tutte le informazioni raccolte su un individuo, come la cronologia di navigazione o la cronologia degli acquisti. Infine, la risposta dovrebbe anche spiegare quali misure sono state adottate per proteggere i dati di una persona dall'accesso da parte di persone non autorizzate.

Fornendo queste informazioni, una risposta DSAR aiuta a garantire che i dati di un individuo siano protetti e avvolti nella trasparenza.

Suggerimenti per la compilazione e la revisione delle richieste di accesso degli interessati

Il GDPR impone alle organizzazioni obblighi severi per la gestione dei dati personali, comprese le richieste di accesso dei soggetti (SAR). Ecco i nostri migliori suggerimenti per la compilazione e la revisione delle SAR:

• Assicurati di avere un team dedicato o un individuo responsabile della gestione delle SAR. Ciò contribuirà a garantire che le richieste vengano trattate tempestivamente e in conformità con il GDPR.
• Mettere in atto procedure per affrontare le SAR, compreso un processo chiaro per identificare l'interessato, verificarne l'identità e individuare le informazioni pertinenti.
• Rispondere alle SAR entro un mese, a meno che non vi sia una buona ragione per prolungare questo periodo. Se è necessario prolungare i termini, è necessario avvisare l'interessato entro un mese dal ricevimento della richiesta.
• Assicurati di disporre di un sistema per tenere traccia delle richieste e garantire che vengano gestite tempestivamente.
• Sii il più specifico possibile quando rispondi alle SAR, in particolare con le informazioni che stai fornendo e le ragioni delle decisioni che hai preso.
• Se intendi nascondere informazioni a un interessato, tieni presente che devi disporre di una base giuridica valida per farlo.
• Conserva i registri di tutte le SAR ricevute, inclusi i dettagli su come sono state gestite e l'esito. Questo ti aiuterà a identificare le aree in cui i tuoi processi potrebbero essere migliorati.
• Rivedi regolarmente le tue procedure per assicurarti che siano idonee allo scopo e conformi al GDPR.
• Preparati a gestire SAR complessi, che potrebbero richiedere la ricerca in un grande volume di dati. Questo può richiedere molto tempo e risorse, quindi la pianificazione è importante.
• Rivolgiti a un legale se non sei sicuro su come gestire una SAR o se ritieni che la richiesta sia infondata o eccessiva.

Pericoli della mancata risposta alla richiesta di accesso dell'interessato

Fonte

Se scegli di non rispondere a una richiesta di accesso dell'interessato, potresti violare il GDPR. Ciò potrebbe comportare una multa fino a 20 milioni di euro o il quattro percento del tuo fatturato annuo globale, a seconda di quale sia maggiore. Inoltre, potresti essere tenuto a risarcire i danni alla persona che ha presentato la richiesta.

La mancata risposta a una richiesta di accesso dell'interessato mette anche l'organizzazione a rischio di danni reputazionali. Se si viene a sapere che non stai rispettando il GDPR, le persone potrebbero perdere la fiducia nella tua organizzazione e scegliere di portare la loro attività altrove. Questo potrebbe avere un impatto significativo sui tuoi profitti.

Inoltre, la mancata risposta a una richiesta di accesso dell'interessato potrebbe ostacolare la tua capacità di rispettare altri requisiti del GDPR, come la minimizzazione dei dati e l'accuratezza dei dati. Se non disponi delle informazioni richieste, non potrai attenerti a tali principi. Ciò potrebbe comportare sanzioni aggiuntive da parte dell'autorità di controllo.

Infine, se ricevi una richiesta di accesso da parte di un interessato da un individuo che è anche un cliente o un dipendente della tua organizzazione, la mancata risposta potrebbe compromettere tale relazione. L'individuo potrebbe ritenere che tu non apprezzi la sua privacy e scegliere di porre fine alla sua associazione con la tua organizzazione.

Come puoi vedere, molti rischi sono associati alla mancata risposta a una richiesta di accesso dell'interessato. Se si riceve tale richiesta, è importante consultare un consulente legale per assicurarsi di adottare le misure appropriate per conformarsi.

Conclusione

Rispondere a una richiesta di accesso di un interessato può essere scoraggiante, ma è importante rispettare la legge. Seguendo questi suggerimenti, sarai in grado di rispondere alle richieste dei clienti. Hai mai avuto a che fare con una richiesta di accesso di un interessato? Qual è stata la tua esperienza? Facci sapere!

This content has been Digiproved © 2022 Tribulant Software