A Lei Geral de Proteção de Dados (LGPD), garante ao indivíduo o direito de saber quais dados pessoais uma organização tem sobre eles ao pedir uma requisição de acesso aos dados do titular (DSAR, na sigla em inglês).
Neste artigo, você verá as respostas para as perguntas mais frequentes sobre DSAR e ao mesmo tempo terá dicas valiosas sobre como manusear essas requisições de forma eficiente.
Perguntas frequentes sobre o DSAR:
O que é a requisição de acesso aos dados do titular?
Como as organizações devem responder aos DSARs?
Quais dados suplementares devem ser oferecidos?
Um funcionário pode te pedir um DSAR?
Quanto tempo você tem para responder?
Como garantir que você cumpra com as DSARs
Perguntas frequentes sobre o DSAR:
O que é a requisição de acesso aos dados do titular?
O DSAR é uma requisição que um indivíduo faz para saber quais dados você coletou sobre ele. O artigo 18 da LGPD diz que “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição”
Veja o vídeo abaixo: Entenda de vez como tratar as requisições DSAR
Como as organizações devem responder aos DSARs?
O indivíduo que pedir o DSAR deve receber a confirmação de que você está processando os seus dados pessoais, uma cópia desses dados, sua notificação de privacidade e informações suplementares.
Quais dados suplementares devem ser oferecidos?
Em adição a uma cópia dos seus dados pessoais as organizações devem prover aos indivíduos as seguintes informações:
- Os propósitos do processamento
- As categorias dos dados pessoais coletados
- Os destinatários ou categorias de destinatários que os dados pessoais são divulgados ou compartilhados.
- Por quanto tempo os dados são guardados.
- A informação de outros direitos, como o de se opor ao processamento; o direito de retificar, apagar, anonimizar ou restringir a requisição.
- Onde você conseguiu os dados caso você não os tenha conseguido diretamente do titular
- A existência de qualquer tomada de decisão automatizada
- As medidas de segurança que você oferece caso você transfira os dados pessoais para um país terceiro ou uma organização internacional.
Um funcionário pode te pedir um DSAR?
Os DSARs não são limitados a clientes; qualquer pessoa que tenha seus dados coletados, incluindo funcionários e contratados, tem o direito de pedir uma. Entretanto, as organizações podem se recusar a cumprir uma requisição infundada ou excessiva. Isso requer uma consideração cuidadosa caso-a-caso e confiança em explicar as suas razões as autoridades.
Quanto tempo você tem para responder?
Poderá responder a solicitação de forma imediata caso a resposta for de formato simplificado. Entretanto, caso a resposta for completa, você pode retornar em até 15 dias. Conforme artigo 19 da LGPD.
Direitos do titular dos dados
Além de garantir ao indivíduo o direito da requisição de dados, a LGPD da os titulares dos dados o direito de:
- Anonimização, bloqueio ou eliminação de dados desnecessários
- Transferir os dados pessoas entre provedores de serviço (portabilidade de dados)
- Eliminação dos dados pessoais tratados com o consentimento do titular
- Revogação do consentimento
Mais amplamente, as organizações são requisitadas a implantar medidas de proteção de dados apropriadas sobre a informação pessoal, incluindo tantas medidas técnicas e organizacionais e de reportar prontamente quaisquer vazamentos de dados.
Como garantir que você cumpra com as DSARs
As requisições de acesso aos dados do titular estão se tornando cada vez mais comuns, então é de extrema importância que você garanta que possa responder rapidamente. Sua equipe de gerenciamento de conformidade deve seguir os seguintes itens:
1.Aponte uma pessoa responsável.
Você deve designar um data protection officer (DPO), seja interno ou não. Essa pessoa deve servir como ponto de contato para os titulares de dados e será responsável de supervisionar as estratégias de proteção de dados para a LGPD.
2.Desenvolva diretrizes de manuseamento de dados.
Especifique quem pode acessar quais tipos de dados, onde cada tipo de dado deve ser armazenado e por quanto tempo, quais documentos devem ser impressos e onde essas impressões devem ser mantidas, quais documentos podem ter uma versão digital, como os dados devem ser deletados caso você não precise mais dele, entre outros.
3.Identifique a base legal para o processamento de dados pessoais.
Uma vez que você saiba quais dados regulados você tem, você precisa determinar e documentar a base legal para processá-los. Isso não é apenas um exercício para justificar o armazenamento de todos os dados que você tem; você deve garantir que você tenha uma razão legitima para manter os dados. Note que simplesmente ter o consentimento sobre os dados do titular não é razão suficiente para justificar o processamento e armazenamento dos dados dele.
4.Automatize o descobrimento e classificação de dados.
Você deve saber precisamente quais informações reguladas você tem, e essa informação deve ser facilmente descoberta e acessível. A melhor maneira de atingir isso é através do descobrimento e classificação de dados. Ter um entendimento claro de quais dados sensíveis você armazena é muito mais valioso do que apenas para a conformidade, ele também te ajuda a refinar suas políticas de coleta de dados, a otimizar o seu armazenamento, aprimorar os processos de gerenciamento dos dados e fazer com que os usuários tenham mais produtividade e tenham melhor tomada de decisão.
5.Realize a avaliação de risco regularmente.
A avaliação de risco é uma das melhores práticas de segurança que irão fortalecer suas defesas e ajuda a manter o seu negócio fora de problemas. Realizar o gerenciamento de risco permite que você se adapte rapidamente as alterações na regulação e as ameaças cibernéticas e deixa a segurança da sua informação crítica mais forte.
