Registrar
  1. Blogue
  2. Conformidade
  3. O que é um DSAR? Como Tratar Solicitações de Acesso a Dados Pessoais

O que é um DSAR? Como Tratar Solicitações de Acesso a Dados Pessoais

DSAR illustration showing a magnifying glass inspecting a stylized data profile with personal data elements like name, email, cookie ID and IP address becoming visible, with bold DSAR text, on a purple to blue gradient background with geometric data patterns

Uma solicitação de acesso a dados pessoais (DSAR – Data Subject Access Request) é um dos direitos mais importantes concedidos pelo Regulamento Geral sobre a Proteção de Dados (RGPD). Permite que qualquer pessoa solicite a uma organização que dados pessoais detém sobre ela – e receba uma cópia desses dados.

Para os editores, os DSARs são uma realidade prática de operar ao abrigo do RGPD. Quer recolha dados através de inscrições em newsletters, sistemas de comentários, ferramentas de análise ou cookies, os seus utilizadores têm o direito de perguntar o que detém e como utiliza essa informação. Este guia explica o que são os DSARs, o que a lei exige e como implementar um processo que os trate de forma eficiente.

O que é um DSAR?

DSAR é a sigla para Data Subject Access Request (solicitação de acesso do titular dos dados). É o nome formal para o direito dos indivíduos – conhecidos como “titulares dos dados” ao abrigo do RGPD – de solicitar acesso aos dados pessoais que uma organização detém sobre eles.

Este direito está estabelecido no Artigo 15 do RGPD, que determina que os titulares dos dados têm o direito de obter confirmação sobre se os seus dados pessoais estão a ser tratados e, em caso afirmativo, de receber uma cópia desses dados juntamente com informações suplementares específicas.

Um DSAR não se resume a obter uma cópia dos dados. O indivíduo também tem o direito de saber:

  • As finalidades do tratamento – por que razão os seus dados estão a ser utilizados
  • As categorias de dados tratados – que tipos de informação são detidos
  • Os destinatários – com quem os dados foram ou serão partilhados, incluindo anunciantes terceiros e fornecedores de análise
  • O período de conservação – durante quanto tempo os dados serão armazenados
  • A origem – de onde os dados foram recolhidos, caso não tenham sido obtidos diretamente do indivíduo
  • A existência de decisões automatizadas – incluindo a definição de perfis e a lógica envolvida
  • Transferências internacionais – se os dados são transferidos para países terceiros ou organizações internacionais, e as garantias implementadas
  • Os seus outros direitos – a existência do direito de solicitar a retificação, o apagamento ou a limitação do tratamento, o direito de oposição e o direito de apresentar reclamação junto de uma autoridade de controlo

Em resumo, um DSAR dá aos indivíduos uma visão clara de como os seus dados estão a ser tratados.

O que é um titular dos dados?

Um titular dos dados é qualquer pessoa singular viva, identificada ou identificável, cujos dados pessoais estão a ser tratados. Ao abrigo do RGPD, isto significa qualquer pessoa que possa ser direta ou indiretamente identificada por referência a um identificador como nome, endereço de e-mail, endereço IP, ID de cookie ou outros fatores específicos da sua identidade.

Para os editores, os titulares dos dados incluem qualquer pessoa que interaja com o seu website – utilizadores registados, subscritores de newsletters, comentadores e mesmo visitantes anónimos cujos dados recolhe através de cookies ou ferramentas de análise. Se consegue associar um dado a um indivíduo, essa pessoa é um titular dos dados.

Direitos dos titulares dos dados ao abrigo do RGPD

O direito de acesso (DSAR) é um dos vários direitos que o RGPD confere aos titulares dos dados. Compreender como se enquadra entre os outros direitos ajuda os editores a construir um processo de conformidade abrangente.

O RGPD estabelece os seguintes direitos dos titulares dos dados:

  1. Direito de acesso (Artigo 15) – O direito de obter uma cópia dos dados pessoais e informações sobre como são tratados. Este é o DSAR.
  2. Direito de retificação (Artigo 16) – O direito de corrigir dados pessoais inexatos.
  3. Direito ao apagamento (Artigo 17) – Também conhecido como “direito a ser esquecido.” O direito de solicitar o apagamento de dados pessoais em determinadas circunstâncias.
  4. Direito à limitação do tratamento (Artigo 18) – O direito de limitar a forma como uma organização utiliza os dados pessoais.
  5. Direito à portabilidade dos dados (Artigo 20) – O direito de receber os dados pessoais num formato estruturado, de uso corrente e de leitura automática, e de os transmitir a outra organização.
  6. Direito de oposição (Artigo 21) – O direito de se opor a determinados tipos de tratamento, incluindo o marketing direto.
  7. Direitos relativos a decisões automatizadas (Artigo 22) – O direito de não ficar sujeito a decisões baseadas unicamente no tratamento automatizado, incluindo a definição de perfis.

Um DSAR funciona frequentemente como a porta de entrada para os outros direitos. Depois de alguém ver que dados detém, pode dar seguimento com um pedido para os apagar, corrigir ou opor-se à forma como estão a ser utilizados.

Quem pode fazer um DSAR?

Qualquer titular dos dados cujos dados pessoais a sua organização trate pode fazer um DSAR. Não existe a exigência de a pessoa ser cliente, subscritor ou utilizador registado. Se detém quaisquer dados pessoais sobre alguém – mesmo apenas um endereço IP registado pelo seu servidor web – essa pessoa pode submeter uma solicitação.

Os DSARs também podem ser feitos por:

  • Representantes autorizados – Alguém que atua em nome do titular dos dados, como um advogado ou um pai que atua em nome de uma criança
  • Crianças – Menores podem fazer DSARs, embora na prática um pai ou tutor atue frequentemente em seu nome
  • Funcionários – Os colaboradores podem submeter DSARs sobre os seus próprios dados de emprego

Não existem requisitos formais sobre a forma como um DSAR deve ser submetido. Pode chegar por e-mail, carta, mensagem através de um formulário web, mensagem nas redes sociais ou mesmo um pedido verbal. Não precisa de mencionar “DSAR” ou “Artigo 15” especificamente – qualquer pedido de dados pessoais conta.

Requisitos legais para tratar DSARs

O RGPD estabelece regras claras sobre como as organizações devem responder aos DSARs. O incumprimento pode levar a reclamações junto das autoridades de controlo e, em última instância, a ações de execução.

Prazo de resposta

Deve responder a um DSAR no prazo de um mês civil a contar da sua receção. O prazo é calculado a partir da data de receção – por exemplo, uma solicitação recebida a 5 de março deve ser respondida até 5 de abril. Se o último dia cair num fim de semana ou feriado, dispõe até ao dia útil seguinte.

Para solicitações complexas ou numerosas, pode prolongar o prazo por mais dois meses (perfazendo um total de três meses). No entanto, deve informar o titular dos dados da extensão e das razões para a mesma dentro do período inicial de um mês.

Custo

Os DSARs são gratuitos na grande maioria dos casos. Só pode cobrar uma “taxa razoável” se a solicitação for manifestamente infundada ou excessiva – por exemplo, se a mesma pessoa submeter pedidos idênticos repetidamente. Mesmo nesse caso, deve ser capaz de justificar a cobrança.

Formato da resposta

Se a solicitação foi feita por meios eletrónicos (por exemplo, por e-mail), deve fornecer a resposta num formato eletrónico de uso corrente, como PDF ou CSV. Os dados devem ser apresentados de forma concisa, transparente e fácil de compreender.

Verificação de identidade

Antes de divulgar dados pessoais, deve verificar que a pessoa que faz a solicitação é quem afirma ser. Enviar os dados de outra pessoa em resposta a um pedido fraudulento constituiria, por si só, uma violação de dados.

Para utilizadores registados, pode verificar a identidade pedindo-lhes que iniciem sessão. Para outros indivíduos, pode solicitar informações de identificação adicionais – embora não deva pedir mais dados do que o necessário para confirmar a identidade.

Dados de terceiros

Se os dados que detém incluem informações sobre outras pessoas, deve ter cuidado para não as divulgar. O RGPD exige que equilibre o direito de acesso do titular dos dados com os direitos de privacidade de terceiros. Na prática, isto significa omitir os dados pessoais de outros indivíduos na resposta.

É possível recusar um DSAR?

Só pode recusar um DSAR em circunstâncias limitadas:

  • Solicitações manifestamente infundadas – Quando o indivíduo claramente não tem intenção real de exercer os seus direitos (por exemplo, declara explicitamente que pretende causar perturbação)
  • Solicitações manifestamente excessivas – Pedidos repetidos da mesma pessoa sem um intervalo razoável, ou solicitações desproporcionadas em âmbito

O limiar para a recusa é elevado. Deve ser capaz de demonstrar por que razão uma solicitação é manifestamente infundada ou excessiva. Se optar por recusar, deve informar o titular dos dados das razões e comunicar-lhe que tem o direito de apresentar reclamação junto de uma autoridade de controlo.

Não pode recusar um DSAR simplesmente porque seria inconveniente, demorado ou dispendioso de cumprir.

Que dados os editores precisam de fornecer?

Para os editores, responder a um DSAR significa recolher dados pessoais de todos os seus sistemas. Os tipos de dados que pode precisar de fornecer incluem:

  • Informações de conta – Nome de utilizador, endereço de e-mail, nome de exibição, data de registo
  • Comentários e conteúdo – Quaisquer comentários publicados, contribuições em fóruns ou conteúdo gerado pelo utilizador
  • Dados de newsletter – Estado da subscrição, preferências de e-mail, histórico de envios
  • Dados de análise – Histórico de navegação, visualizações de páginas, dados de sessão associados ao indivíduo
  • Registos de consentimento – Registos do que o utilizador consentiu e quando, incluindo registos da plataforma de gestão de consentimento (CMP) e quais parceiros de publicidade o utilizador autorizou
  • Registos técnicos – Endereços IP, informações do navegador, registos de acesso ao servidor
  • Registos de comunicação – E-mails de suporte, submissões de formulários de contacto

É apenas responsável por fornecer dados que detém enquanto responsável pelo tratamento. A maioria dos editores não recolhe diretamente dados de rastreamento publicitário – em vez disso, quando um utilizador dá consentimento através de um CMP, consente a uma lista de parceiros de publicidade divulgados (como ad exchanges, SSPs e DSPs) que normalmente atuam como responsáveis pelo tratamento independentes para o seu próprio tratamento. Se um utilizador quiser aceder aos dados que esses parceiros detêm, precisa de submeter solicitações separadas a cada um. O seu papel enquanto editor é informar o solicitante sobre quais parceiros utiliza e fornecer ligações para as suas políticas de privacidade, para que o utilizador saiba onde dirigir DSARs adicionais.

Dito isto, a relação jurídica precisa entre um editor e os seus parceiros de ad tech nem sempre é linear. Em alguns casos – particularmente quando um editor incorpora tags ou plugins de terceiros que desencadeiam a recolha de dados – os tribunais consideraram que o operador do website e o terceiro podem ser responsáveis conjuntos pelo tratamento no que respeita à recolha inicial de dados. Se tem um acordo de responsabilidade conjunta com algum parceiro, pode precisar de coordenar as respostas a DSARs como parte do seu acordo ao abrigo do Artigo 26.

Também não é obrigado a fornecer dados que genuinamente não detém ou que não consegue razoavelmente identificar como pertencentes ao solicitante. Por exemplo, se os seus dados de análise estão totalmente anonimizados e não podem ser associados a um indivíduo, ficam fora do âmbito de um DSAR.

Como tratar um DSAR: passo a passo

Implementar um processo claro antes de receber o seu primeiro DSAR torna o tratamento muito mais simples. Eis uma abordagem prática passo a passo:

Passo 1: Reconhecer a solicitação

Um DSAR não precisa de utilizar qualquer linguagem específica. Forme a sua equipa para reconhecer pedidos que sejam essencialmente “que dados têm sobre mim?” Estes podem chegar através do e-mail de suporte, formulário de contacto, redes sociais ou qualquer outro canal.

Registe a solicitação imediatamente e anote a data de receção – isto inicia a contagem do prazo de um mês.

Passo 2: Verificar a identidade do solicitante

Confirme que a pessoa é quem diz ser. Os métodos incluem:

  • Pedir que submeta a solicitação a partir do endereço de e-mail registado
  • Pedir que inicie sessão na conta e submeta através de um formulário dedicado
  • Solicitar uma informação de identificação que já detém (por exemplo, confirmar o nome de utilizador da conta)

Não peça identificação excessiva. Não deve solicitar um passaporte ou documento de identificação governamental, a menos que já recolha esse tipo de dados.

Passo 3: Localizar os dados

Pesquise todos os sistemas onde os dados pessoais possam estar armazenados. Para um editor típico, isto inclui:

  • Sistema de gestão de conteúdos (WordPress, Drupal, etc.)
  • Plataforma de e-mail marketing (Mailchimp, SendGrid, etc.)
  • Plataforma de análise (Google Analytics, etc.)
  • Plataformas de publicidade e ferramentas de gestão de consentimento
  • Sistemas de suporte ao cliente
  • Registos do servidor
  • Processadores de pagamentos (para sites com subscrição)

Manter um documento de mapeamento de dados – um registo dos dados pessoais que recolhe, onde estão armazenados e quem tem acesso – torna este passo significativamente mais rápido.

Passo 4: Compilar e rever

Reúna todos os dados relevantes e reveja-os antes de enviar. Verifique:

  • Dados pessoais de terceiros que precisam de ser omitidos
  • Informação comercialmente sensível ou legalmente protegida
  • Completude – verificou todos os sistemas?

Passo 5: Responder dentro do prazo

Envie os dados ao solicitante num formato claro e acessível. Inclua as informações suplementares exigidas pelo Artigo 15 – finalidades do tratamento, categorias de dados, destinatários, períodos de conservação e informações sobre os outros direitos.

Se precisar de mais tempo, notifique o titular dos dados da extensão dentro do período inicial de um mês.

Passo 6: Documentar tudo

Mantenha um registo da solicitação, do seu processo de verificação, dos dados fornecidos e da data da resposta. Esta documentação demonstra conformidade caso a solicitação seja alguma vez analisada por uma autoridade de controlo.

Quantos DSARs os editores devem esperar?

Para a maioria dos editores de pequena e média dimensão, os DSARs são ainda relativamente incomuns. Muitos podem receber apenas alguns por ano, ou nenhum. No entanto, a tendência é claramente ascendente – a consciencialização dos consumidores sobre os direitos de dados está a crescer, e inquéritos do setor mostram que os volumes de DSARs estão a aumentar significativamente de ano para ano. Isto significa que é importante ter um processo implementado mesmo que ainda não tenha recebido uma solicitação.

A boa notícia é que não é necessário investir imediatamente numa plataforma automatizada dedicada à gestão de DSARs. O que importa é estar preparado: saber que dados detém, ter um processo documentado e ser capaz de responder dentro do prazo legal quando uma solicitação chegar. Uma folha de cálculo simples para rastrear solicitações, um conjunto de modelos de resposta e um mapeamento de dados claro são suficientes para que a maioria dos editores trate DSARs de forma eficiente. Se os volumes de solicitações crescerem significativamente, pode considerar ferramentas mais sofisticadas nessa altura.

DSARs ao abrigo de outras leis de privacidade

Embora os DSARs sejam mais comummente associados ao RGPD, direitos de acesso semelhantes existem ao abrigo de outros regulamentos de privacidade:

  • RGPD do Reino Unido – O Reino Unido manteve o quadro do DSAR após o Brexit. As regras são essencialmente idênticas às do RGPD da UE, sendo aplicadas pelo Information Commissioner’s Office (ICO).
  • CCPA/CPRA – Os consumidores da Califórnia têm o “direito a saber” que informações pessoais uma empresa recolheu. O prazo de resposta é de 45 dias (prorrogável por mais 45 dias).
  • LGPD (Brasil) – Os titulares dos dados podem solicitar confirmação do tratamento e acesso aos seus dados. O responsável pelo tratamento deve responder no prazo de 15 dias.
  • Outras leis estaduais dos EUA – A Virgínia (VCDPA), o Colorado (CPA), Connecticut (CTDPA) e outros estados com leis de privacidade incluem direitos de acesso semelhantes com prazos de resposta variados.

Se o seu website serve uma audiência global, pode receber solicitações de acesso ao abrigo de múltiplos quadros regulatórios. Construir um único processo robusto que cumpra os requisitos do RGPD geralmente satisfará os direitos de acesso ao abrigo de outras leis, uma vez que o RGPD tende a ser o mais exigente.

Boas práticas de DSAR para editores

Com base nas orientações do ICO e de outras autoridades de controlo, eis as boas práticas para editores que tratam DSARs:

Criar um canal de solicitação dedicado

Publique um método claro para submeter DSARs no seu website – um endereço de e-mail dedicado (por exemplo, privacidade@seudominio.com) ou um formulário web acessível a partir da sua política de privacidade. Isto reduz a probabilidade de solicitações serem perdidas ou atrasadas numa caixa de entrada geral.

Manter um mapeamento de dados

Documente que dados pessoais recolhe, onde estão armazenados, para que são utilizados e quem tem acesso. Um mapeamento de dados atualizado transforma uma pesquisa de vários dias numa lista de verificação simples.

Manter registos de consentimento

Utilizar uma plataforma de gestão de consentimento (CMP) ajuda a manter registos claros do que cada utilizador consentiu e quando. Estes registos são frequentemente parte do que precisa de fornecer numa resposta a um DSAR e também demonstram a sua conformidade com o RGPD de forma mais ampla.

O Clickio Consent, um CMP certificado pela Google, mantém automaticamente registos detalhados de consentimento para cada interação do utilizador – incluindo carimbos temporais, escolhas de consentimento e quais parceiros de publicidade o utilizador autorizou. Também regista informações detalhadas sobre cada parceiro: a sua política de privacidade, os tipos de dados que tratam, os cookies que utilizam e as finalidades para as quais tratam dados. Isto torna simples recuperar dados de consentimento ao responder a DSARs e fornece uma trilha auditável que demonstra conformidade junto das autoridades de controlo.

Experimente o Clickio Consent Grátis

Formar a sua equipa

Assegure que qualquer pessoa que possa receber um DSAR – equipa editorial, suporte ao cliente, marketing – saiba como reconhecê-lo e a quem o encaminhar. Uma solicitação perdida pode facilmente tornar-se uma falha de conformidade.

Preparar modelos de resposta

Crie modelos de cartas para confirmar a receção, solicitar a verificação de identidade, fornecer dados e explicar quaisquer extensões. Os modelos aceleram os tempos de resposta e asseguram consistência.

Rever a retenção de dados

Quanto menos dados pessoais retiver, menos precisa de pesquisar quando um DSAR chegar. Uma boa política de retenção de dados – eliminando dados de que já não necessita – simplifica a conformidade com DSARs e reduz o risco global.

Erros comuns de DSAR a evitar

As autoridades de controlo identificaram vários erros comuns que as organizações cometem ao tratar DSARs:

  • Incumprimento do prazo – A contagem de um mês começa a partir da data em que recebe a solicitação, não do dia seguinte. Se precisar de mais tempo, deve notificar o solicitante dentro desse primeiro mês.
  • Pedir identificação excessiva – Solicitar uma cópia do passaporte quando uma simples confirmação por e-mail seria suficiente é desproporcional e pode, por si só, violar o princípio de minimização de dados do RGPD.
  • Pesquisas incompletas – Verificar o CMS mas esquecer o e-mail marketing, as ferramentas de análise ou os sistemas de backup. Todo sistema que contenha dados pessoais precisa de ser pesquisado.
  • Divulgar dados de terceiros – Não omitir as informações pessoais de outras pessoas na resposta.
  • Cobrar uma taxa – A menos que a solicitação seja manifestamente infundada ou excessiva, não pode cobrar por um DSAR. Esta é uma alteração em relação às regras anteriores ao RGPD e apanha algumas organizações desprevenidas.
  • Ignorar pedidos verbais – Um DSAR feito por telefone é tão válido como um por escrito. Se receber um verbalmente, documente-o e inicie o processo.

O que acontece se não cumprir?

O incumprimento no tratamento de um DSAR pode ter consequências reais. Os titulares dos dados insatisfeitos com a sua resposta – ou que não recebam qualquer resposta – podem apresentar reclamação junto de uma autoridade de controlo como o ICO (Reino Unido) ou a autoridade nacional de proteção de dados (UE).

As autoridades de controlo podem:

  • Ordenar o cumprimento da solicitação dentro de um prazo específico
  • Emitir uma repreensão
  • Aplicar coimas administrativas – o RGPD permite coimas até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o que for superior, para infrações graves
  • Ordenar a suspensão de atividades de tratamento de dados

Na prática, a maioria das reclamações sobre DSARs resulta na autoridade a instruir a organização a responder adequadamente, em vez de avançar diretamente para coimas. No entanto, um padrão de ignorar solicitações ou uma falha particularmente grave pode levar a ações de execução.

Os titulares dos dados também têm o direito de procurar compensação através dos tribunais por danos materiais ou não materiais causados por violações do RGPD, incluindo falhas no cumprimento de DSARs.

Lista de verificação de DSAR para editores

Utilize esta lista de verificação para garantir que o seu processo de DSAR está completo:

PassoAção
1Publicar um canal claro para solicitações de DSAR (e-mail de privacidade ou formulário web) na sua política de privacidade
2Formar todos os colaboradores que possam receber solicitações para reconhecer e encaminhar DSARs
3Criar e manter um mapeamento de todos os dados pessoais que recolhe e onde estão armazenados
4Preparar modelos de resposta para confirmação de receção, verificação de identidade e divulgação de dados
5Implementar procedimentos de verificação de identidade proporcionais aos seus dados
6Configurar um sistema de rastreamento para monitorizar os prazos dos DSARs
7Utilizar um CMP para manter registos de consentimento auditáveis
8Rever e minimizar a retenção de dados para reduzir o âmbito dos DSARs
9Documentar o seu processo de tratamento de DSARs e manter registos de todas as solicitações e respostas

Simplifique a conformidade com as ferramentas certas

Tratar DSARs de forma eficaz é muito mais simples quando a sua recolha de dados e gestão de consentimento subjacentes estão bem organizadas. Uma plataforma de gestão de consentimento centraliza os registos de consentimento, tornando mais rápida a recuperação dos dados de consentimento que frequentemente fazem parte de uma resposta a um DSAR.

O Clickio Consent é um CMP certificado pela Google, utilizado por mais de 2.000 editores em todo o mundo. Trata a recolha de consentimento ao abrigo do RGPD, CCPA/CPRA, outras leis de privacidade estaduais dos EUA e outros regulamentos de privacidade globais, mantendo registos detalhados de cada interação de consentimento. Isto não só ajuda nas respostas a DSARs como suporta a sua estratégia mais ampla de conformidade com o RGPD – incluindo o princípio de responsabilidade que exige que demonstre conformidade mediante pedido.

Comece a Utilizar o Clickio Consent
(Visited 1 times, 1 visits today)
Veja mais artigos sobre este tema: Conformidade
Registrar