Solicitud de acceso al tema de GDPR: la autenticación no puede ser una idea de último momento

Solicitud de acceso al tema de GDPR: la autenticación no puede ser una idea de último momento

En el período previo al final del año pasado, las compañías tuvieron dificultades para actualizar sus prácticas de protección de datos. De hecho, algunas empresas han sido multadas por incumplimiento. Sin embargo, después de un largo período de ajuste, los requisitos de GDPR se han estandarizado en los programas de cumplimiento existentes.

Para lo que muchas empresas estaban mal preparadas fue el asalto de los consumidores que ejercen sus derechos bajo el nuevo régimen. Bajo el PMP, un consumidor puede presentar una solicitud de acceso al sujeto con una organización para determinar si esa organización está procesando datos personales sobre él y, de ser así, con el nombre de las partes. con la que fue compartida. ha sido compartido

De hecho, estas son solo algunas de las preguntas de investigación a las que el usuario, como sujeto de datos, puede pedir respuestas. Además, una vez que el SAR se ha enviado a la organización, la organización está legalmente obligada a cumplir con la solicitud, recuperar la información y responder formalmente al sujeto de los datos, todo dentro de un período de tiempo específico. Un mes

Solicitud de acceso al tema.

El SAR se ha convertido en un tema espinoso para los controladores de datos que intentan hacer frente a la gran cantidad de demandas de los clientes. Varios factores son responsables de esto:

Primero, no es fácil determinar qué constituye un SAR; El reglamento faculta a la persona interesada para formular una solicitud según lo considere conveniente, ya sea una solicitud escrita a mano, una comunicación verbal o digital, que va desde correos electrónicos hasta tweets. Dada esta falta de estructura y estandarización, es difícil identificar y segmentar los SAR de manera escalable. Es posible que las organizaciones no puedan responder a tiempo o tomar medidas.

En segundo lugar, la recuperación de los datos solicitados para responder con precisión las preguntas planteadas en los informes de auditoría ya es importante. De hecho, los profesionales del cumplimiento parecen estar cada vez más preocupados de que sea insostenible a largo plazo dedicar una cantidad desproporcionada de recursos a la gestión de las operaciones de SAR. De hecho, varias organizaciones le han pedido al regulador más claridad sobre si podrían comenzar a cobrar RAS a los clientes si las solicitudes se consideraran excesivas.

Y, hay una tercera preocupación que requiere atención especial: autenticar la identidad de la persona que realiza la solicitud. La divulgación de información personal sin la autenticación de la identidad de la persona que pretende ser la persona puede tener consecuencias desastrosas. De hecho, el tratamiento de un SAR fraudulento y la divulgación de información personal a un ladrón de identidad socavan la idea misma de protección de datos que GDPR busca defender. Las organizaciones deben asegurarse de que la persona que realiza la RS no aparezca como la persona involucrada en el robo de información personal.

เครดิตรูปภาพ: Shutterstock

เครดิตรูปภาพ: Shutterstock

(ภาพ: © Pexels)

Autenticación de identidades de usuario.

Inevitablemente, habrá casos en los que las personas que establezcan el SAR no puedan autenticarse utilizando la información almacenada por el controlador de datos, los casos raros pero no infrecuentes en los que la persona ha perdido sus identificadores. Conexión o ya no tienen acceso al correo electrónico que tenían la costumbre de crear su cuenta. En tales situaciones, las organizaciones pueden considerar un enfoque basado en el riesgo para determinar si la persona que realiza el RSA es la persona involucrada.

En retrospectiva, parece que a medida que las organizaciones establecen rápidamente los controles y reorganizan sus programas de protección de datos para convertirse en una queja GDPR, la importancia de la verificación de SAR se enterró bajo una montaña de otras preocupaciones apremiantes. . Ahora que las organizaciones han tenido un año para adaptarse a este nuevo entorno enfocado en GDPR, la importancia de la autenticidad de la identidad de la persona que realiza el RAD ya no puede ser ignorada.

Zac Cohen, Gerente General en ทรูลิโอ