Home > Informatica > Data Subject Access Request (DSAR): l’essenziale

Data Subject Access Request (DSAR): l’essenziale

scritto da: Netwrix | segnala un abuso

Data Subject Access Request (DSAR): l’essenziale

Il Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR) garantisce alle persone il diritto di scoprire quali dati personali un’organizzazione (denominata responsabile del trattamento) possiede su di loro, inviando una richiesta di accesso ai dati da parte dell’interessato (DSAR). Questo diritto è dettagliato nell’articolo 15, “Diritto di accesso dell’interessato”.


Sebbene il GDPR sia in vigore da un po’ di tempo, molte organizzazioni sono ancora incerte sul fatto di essere conformi o meno a questo requisito di legge. In questo articolo, troverai le risposte alle domande più frequenti su DSAR, ed anche consigli utili su come gestire queste richieste in modo efficiente.

 

DSAR: domande frequenti

Che cos’è una richiesta di accesso dell’interessato? DSAR è una richiesta che un individuo fa per sapere quali dati hai raccolto su di lui. Il considerando 63 del GDPR afferma: “Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità.”

In che modo le organizzazioni devono rispondere alle DSAR? Una persona che effettua una DSAR ha diritto a ricevere una conferma dell’avvenuta elaborazione dei propri dati personali, una copia di tali dati, l’informativa sulla privacy e informazioni supplementari.

Che cos’è un’informativa sulla privacy? Una nota sulla privacy è un documento legale che spiega chiaramente come vengono trattati i dati personali. Richiedendo informazioni sulla privacy, il GDPR mira ad aggiungere trasparenza nel trattamento dei dati personali e garantire che le organizzazioni non elaborino i dati all’insaputa di una persona o contro la loro volontà. Una nota sulla privacy non è la stessa di una politica sulla privacy. Una nota sulla privacy è un documento disponibile al pubblico, mentre una politica sulla privacy è un documento interno che dettaglia gli obblighi di privacy dell’organizzazione, le regole per l’elaborazione dei dati e le pratiche di sicurezza.

Quali dati supplementari dovrebbero essere forniti? Oltre a una copia dei loro dati personali, le organizzazioni devono anche fornire alle persone le seguenti informazioni:

  •  Le finalità del trattamento
  •  Le categorie di dati personali raccolti
  •  I destinatari o le categorie di destinatari con cui i dati personali sono comunicati o condivisi
  •  Per quanto tempo vengono conservati i dati personali
  •  Consulenza su diritti aggiuntivi, come il diritto di opporsi al trattamento; il diritto di richiedere rettifiche, cancellazioni o restrizioni; e il diritto di presentare un reclamo al Garante per la Protezione dei dati personali o ad un’altra autorità di controllo
  •  Dove hai ottenuto i loro dati se non li hai ottenuti direttamente dall’interessato
  •  L’esistenza di qualsiasi processo decisionale automatizzato
  •  Le misure di sicurezza messe in atto nel caso di trasferimento di dati personali a un paese terzo o a un’organizzazione internazionale

Quanto tempo hai per rispondere? Normalmente, è necessario rispondere a una DSAR entro 30 giorni dalla ricezione. Tuttavia, se la richiesta è complessa, è possibile richiedere un’estensione di due mesi, sebbene sia necessario spiegare il motivo del ritardo entro il periodo di 30 giorni originale.

Cosa succede se non si rispettano le scadenze? Il mancato rispetto di una richiesta di accesso ai dati entro 40 giorni può comportare multe significative e altre sanzioni regolamentari, nonché danni alla reputazione.

 

Come garantire la conformità

Le richieste di accesso dell’interessato stanno diventando sempre più comuni, quindi è fondamentale assicurarsi di poter rispondere prontamente. Il team di gestione della privacy e della compliance dovrebbe adottare le seguenti misure:

Nominare una persona responsabile. Se l’organizzazione elabora i dati personali dei residenti nell’UE regolarmente, sistematicamente e su larga scala, è necessario designare un responsabile della protezione dei dati (DPO), sia interno che esternalizzato. Questa persona funge da punto di contatto per gli interessati ed è responsabile della supervisione delle strategie di protezione dei dati dell’azienda per la conformità al GDPR.

Sviluppare linee guida per la gestione dei dati. Specificare chi può accedere a quali tipi di dati, dove ogni tipo di dati è conservato e per quanto tempo, quali documenti devono essere stampati e dove devono essere conservati, quali documenti possono avere una versione digitale, come i dati devono essere eliminati una volta non ne hai più bisogno e così via. 

Individuare la base giuridica per il trattamento dei dati personali. Una volta che conosci quali dati regolamentati hai, devi determinare e documentare la base giuridica per elaborarli. Questo non è solo un esercizio per giustificare la memorizzazione di tutti i dati desiderati; devi assicurarti di avere un motivo legittimo per conservare i dati. Si noti che il semplice fatto di avere il consenso dell’interessato non è una giustificazione sufficiente per l’archiviazione e l’elaborazione dei dati.

Eseguire una valutazione del rischio regolare. La valutazione del rischio è una best practice sulla sicurezza che rafforzerà le tue difese e ti aiuterà a mantenere la tua azienda fuori dai guai. La gestione del rischio (Risk Management) ti consentirà di adattarti rapidamente ai mutevoli scenari normativi e informatici e di rafforzare la sicurezza delle tue informazioni critiche.

Automatizzare l’individuazione e classificazione dei dati. È necessario conoscere esattamente quali informazioni regolamentate sono disponibili e tali informazioni devono essere facilmente individuabili e accessibili. Il modo migliore per raggiungere questo obiettivo è attraverso l’individuazione e classificazione dei dati. Comprendere chiaramente quali dati sensibili archiviate è utile per qualcosa di più della semplice conformità: ti aiuterà anche a perfezionare i criteri di raccolta dei dati, ottimizzare lo spazio di archiviazione, migliorare i processi di gestione dei dati e favorire la produttività e il processo decisionale degli utenti.

Per sapere come puoi soddisfare le richieste dell’interessanto in modo rapido e efficiente con l’aiuto di Netwrix Data Classification, partecipa al webinar Netwrix del 4 giugno.


Fonte notizia: https://www.netwrix.it/dsar_software.html


privacy | gdpr | sicurezza | normative | leggi | garante |



Commenta l'articolo

 

Potrebbe anche interessarti

Lo strano caso del Dottor Chances


Robinson Jr.


La vita in piazza di Maria Concetta Distefano


Movimento Network Marketing


La montagna in salute


Delirium di Postremo Vate


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

ICOS e Netwrix annunciano una partnership per portare più valore ai clienti nell’ambito della sicurezza, visibiltà e governance dei dati

ICOS e Netwrix annunciano una partnership per portare più valore ai clienti nell’ambito della sicurezza, visibiltà e governance dei dati
ICOS, distributore a valore aggiunto di soluzioni infrastrutturali e di sicurezza IT e Netwrix, azienda leader nella protezione dei dati sensibili e business-critical, nonché primo vendor a introdurre una piattaforma di visibilità e governance per la sicurezza del cloud ibrido, hanno annunciato oggi la firma di un accordo di distribuzione per il territorio italiano. Sono tante le sfide che le aziende, gli enti pubblici ma anche i cittadini devono affrontate in materia di sicurezza informatica. Una di esse è rappresentata dal fatto che è sempre più difficile individuare i dati da proteggere e i luoghi in cui essi risiedono (es. cloud, e-mail, pc portatili, e così via). Un’altra sfida è rappresentata dal continuo inasprimento delle leggi e regolamentazioni (continua)

Netwrix annuncia una partnership tecnologica con Safetica

Netwrix annuncia una partnership tecnologica con Safetica
La classificazione accurata e automatizzata dei dati sensibili è ora estesa agli endpoint aziendali. Netwrix Corporation, fornitore di sicurezza informatica che semplifica la sicurezza dei dati, e Safetica, una società che sviluppa software per la prevenzione della perdita di dati (DLP), hanno annunciato oggi una partnership tecnologica per fornire alle organizzazioni una classificazione consistente dei dati in tutto l'ambiente IT, migliorando la sicurezza e riducendo il carico di lavoro IT. (continua)

Netwrix acquisisce PolicyPak ed estende la propria offerta con la sicurezza degli endpoint

Netwrix acquisisce PolicyPak ed estende la propria offerta con la sicurezza degli endpoint
Aggiungendo PolicyPak al suo portafoglio, Netwrix consente alle aziende di tutte le dimensioni di aumentare la sicurezza e semplificare la gestione dei propri desktop e laptop Windows 10 on-premise e remoti. Netwrix Corporation, fornitore di sicurezza informatica che semplifica la sicurezza dei dati, ha annunciato oggi l'acquisizione di PolicyPak, un produttore di software che aiuta le organizzazioni di tutte le dimensioni a proteggere e gestire i propri desktop e laptop Windows 10 locali e remoti. I termini della transazione non sono stati divulgati.  Questa aggiunta completa il portafo (continua)

NETWRIX ACQUISISCE NEW NET TECHNOLOGIES (NNT) PER AIUTARE I CLIENTI A IDENTIFICARE MEGLIO I RISCHI PER LA SICUREZZA E PROTEGGERSI DALLE MINACCE INFORMATICHE

NETWRIX ACQUISISCE NEW NET TECHNOLOGIES (NNT) PER AIUTARE I CLIENTI A IDENTIFICARE MEGLIO I RISCHI PER LA SICUREZZA E PROTEGGERSI DALLE MINACCE INFORMATICHE
Le soluzioni NNT aiutano le organizzazioni a monitorare e controllare le modifiche e le configurazioni, che sono fondamentali per la protezione dalle minacce alla sicurezza dei dati Netwrix Corporation, fornitore di sicurezza informatica che semplifica la sicurezza dei dati, ha annunciato oggi l'acquisizione di New Net Technologies (NNT), un produttore di software che fornisce soluzioni di change, configuration, asset e vulnerability management. Questa aggiunta al portafoglio prodotti Netwrix aiuterà ulteriormente i clienti a migliorare l'identificazione e la protezione (continua)

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili
Le due società di sicurezza informatica uniscono le forze per offrire soluzioni per la sicurezza dei dati e la privacy a organizzazioni di qualsiasi dimensione e in qualsiasi regione del mondo. Netwrix, fornitore di cybersecurity che semplifica la sicurezza dei dati, ha annunciato oggi una fusione con Stealthbits, leader della sicurezza informatica che protegge i dati sensibili e le credenziali dagli aggressori. L'entità combinata continuerà a offrire il suo portafoglio completo di oltre una mezza dozzina di soluzioni di sicurezza volte a identificare e rilevare i rischi per la sic (continua)