Tabela de conteúdos

DSAR: um guia completo sobre o Pedido de Acesso a Dados

O que é um DSAR? Como se lida praticamente com os pedidos de DSAR ao abrigo das principais leis de privacidade?

Neste post explicamos-lhe tudo o que precisa de saber sobre o Pedido de Acesso a Dados (DSAR)!

O que é um Pedido de Acesso ao Assunto de Dados (DSAR)?

O artigo 15 da GDPR concede aos utilizadores o direito de acesso:

O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação do tratamento ou não dos dados pessoais que lhe dizem respeito e, se for o caso, o acesso aos dados pessoais.

Por outras palavras, os utilizadores podem pedir-lhe que aceda aos dados que recolheu sobre os mesmos e solicitar informações sobre o processamento desses dados, para se certificarem de que o mesmo é efectuado de forma legal.

Um DSAR é o pedido que os utilizadores enviam para exercer o seu direito de acesso.

DSARs e leis de privacidade

Vamos ver como lidar com os pedidos da DSAR ao abrigo das principais leis de privacidade.

DSAR e o GDPR 🇪🇺

Segundo a GDPR, a resposta a um Pedido de Acesso a Dados deve incluir:

uma visão geral das categorias de dados que estão a ser tratados;
uma cópia dos dados reais;
pormenores sobre o processamento, mais especificamente, a finalidade do processamento, como os dados foram recolhidos e com quem foram partilhados.

A organização deve fornecer gratuitamente à pessoa que faz o pedido uma cópia dos seus dados pessoais.

Quanto tempo para responder a um pedido de DSAR sob o GDPR

O pedido deve ser atendido sem demora indevida e no máximo, em um mês de recebê-lo.

DSAR e CPRA (alteração CCPA) 🇺🇸

A nova Lei dos Direitos de Privacidade da Califórnia (a alteração à CCPA) também concede aos utilizadores o direito de acesso.

A resposta ao pedido deve incluir:

que informações pessoais foram recolhidas durante os 12 meses anteriores;
a que terceiros os dados foram partilhados ou vendidos.

Uma organização deve satisfazer um pedido DSAR sem custos para o consumidor, no prazo de 45 dias após a recepção de um pedido verificável. Se necessário, pode prorrogar este período (apenas uma vez) por mais 45 dias, mas deve informar o consumidor desse facto.

DSAR e LGPD 🇧🇷

O brasileiro Lei Geral de Proteção de Dados Pessoais (LGPD) concede aos usuários o mesmo direito de acesso.

Os utilizadores devem ter acesso fácil e gratuito a qualquer informação sobre o processamento dos seus dados pessoais.

Como lidar com os DSARs

É importante tratar um Pedido de Acesso a Dados dentro do prazo que a sua lei de referência tenha identificado.

Para atender à solicitação mais rapidamente, o primeiro passo seria mapa todos os dados que você está coletando e processando. Uma vez que você tenha feito isso, é mais fácil enviar uma resposta aos usuários, também seguindo estes 4 passos:

Identifique a pessoa que enviou o pedido: você não quer enviar os dados para a pessoa errada!
Reveja os dados: certifique-se de que os dados que você está enviando ao usuário sejam precisos e contenham todas as informações necessárias, conforme delineamos no parágrafo acima. Além disso, você deve certificar-se de que não está divulgando quaisquer dados pessoais pertencentes a um assunto diferente, expondo, assim, suas informações pessoais.
Empacotar os dados: você pode devolver os dados tanto em uma cópia física quanto em formato eletrônico, depende da solicitação feita pelo sujeito. Se o DSAR inicial foi enviado por um meio eletrônico, como o e-mail, você pode responder usando o mesmo meio.
Enviar a resposta ao interessado.

Como posso tornar os DSARs mais fáceis?

Existem ferramentas em linha que podem ajudá-lo a acompanhar as suas actividades de recolha e processamento de dados.

Por exemplo, iubenda’s Gestão de privacidade interna ajuda a criar registros extensos, que facilitam muito a recuperação dos dados para responder a um DSAR ou a qualquer outro tipo de pedido do usuário.

Experimente sem risco