Loading…
Uma Solicitação de Acesso do Titular dos Dados (DSAR) é um pedido feito por uma pessoa para ver quais dados pessoais você mantém sobre ela. Todos os principais regimes de privacidade (GDPR, UK GDPR, CCPA/CPRA, DPDPA, LGPD, PDPA, APPI) concedem aos titulares dos dados uma versão desse direito. O prazo legal mais curto — o da Califórnia — é de 45 dias. O mais longo com prorrogações — o GDPR — é de três meses.
Construa um único pipeline que atenda ao prazo aplicável mais curto. Cinco etapas: Recepção → Verificação de identidade → Coleta de dados → Revisão e ocultação → Entrega e registro. Acompanhe cada passo. Trate a trilha de auditoria como um artefato de primeira classe, não como um efeito colateral.
A tentação é construir fluxos de trabalho por regulamento: um para o GDPR, um para o CCPA. Não faça isso. Um único pipeline com metadados sensíveis ao regulamento é:
O diagrama acima mostra o fluxo completo. As próximas cinco seções abordam cada etapa em detalhe operacional.
Ofereça múltiplos canais de recepção — um formulário web de autoatendimento, um endereço de e-mail dedicado (normalmente privacy@ ou dpo@), um endereço postal e (em algumas jurisdições) um número de telefone. O GDPR é neutro em relação à tecnologia, mas as Autoridades de Supervisão esperam paridade entre os canais.
Cada evento de recepção deve registrar, no mínimo:
Atribua um ID de caso. Confirme o recebimento dentro de 10 dias úteis (o prazo do CCPA) — aplica-se a todas as solicitações por consistência.
O Art. 12(6) do GDPR permite que você solicite informações adicionais "necessárias para confirmar a identidade do titular dos dados", mas você não deve pedir mais do que o proporcional. O §1798.130(a)(2) do CCPA exige "medidas razoáveis" para verificar a identidade, com o padrão escalando conforme a sensibilidade.
Um modelo pragmático de três níveis:
Pause o prazo durante a verificação apenas na medida do razoável. O CCPA permite explicitamente que o tempo de resposta seja suspenso durante a verificação (prorrogação de 15 dias); o GDPR não, portanto superdimensionar a verificação sob o GDPR é em si um risco.
O passo operacionalmente mais difícil. Construa um inventário de sistemas mapeando cada sistema que armazena ou trafega dados pessoais, incluindo:
Para cada sistema, tenha um procedimento de extração documentado, baseado nos seus identificadores padrão (user_id, email, phone). Use o Registro das Operações de Tratamento do Artigo 30 do GDPR como sua estrutura de base — cada entrada ali deve mapear para uma rotina de extração de DSAR.
Uma vez coletados os dados, revise-os quanto a:
Tenha um revisor de ocultação separado do coletor de dados quando viável — a segregação de funções reduz erros.
Entregue pelo mesmo canal seguro que o titular dos dados utilizou, ou por outro canal que ele escolher. Criptografe o pacote. Forneça uma resposta de acompanhamento explicando o conteúdo, as categorias de dados, as finalidades do tratamento, os destinatários, o período de retenção, a origem dos dados, os direitos e o direito de apresentar reclamação à Autoridade de Supervisão.
Registre: a solicitação, as etapas de verificação, os sistemas consultados, as ocultações aplicadas (com motivos), o canal de entrega e os carimbos de data/hora. Esse registro é sua defesa em qualquer auditoria ou reclamação.
| Regime | Confirmação | Resposta substantiva | Prorrogação |
|---|---|---|---|
| GDPR / UK GDPR | Sem prazo específico — "sem demora indevida" | 1 mês | +2 meses para solicitações complexas/múltiplas |
| CCPA / CPRA | 10 dias úteis | 45 dias corridos | +45 dias quando razoavelmente necessário |
| DPDPA (Índia) | Sem prazo específico | Conforme prescrito pelas Regras; prazo razoável padrão | Não especificado |
| LGPD (Brasil) | Sem prazo específico | 15 dias para acesso; 30 dias para confirmação de existência | Possível mediante justificativa fundamentada |
| APPI (Japão) | Sem prazo específico | "Sem demora" — normalmente 2 semanas | Prorrogações razoáveis permitidas |
| PDPA (Singapura) | Sem prazo específico | O mais cedo razoavelmente possível, ≤30 dias | Notificar com nova data estimada se for mais longo |
Adote como padrão o prazo aplicável mais curto. Se você abrange GDPR + CCPA, planeje 45 dias de ponta a ponta; se apenas GDPR, planeje a base de 1 mês.
Você pode recusar uma solicitação, no todo ou em parte, quando:
Documente o fundamento da recusa. O titular dos dados tem o direito de saber o motivo e de reclamar à Autoridade de Supervisão.
Um risco real e crescente. Agentes de ameaça usam DSARs para (a) extrair dados de concorrentes, (b) sobrecarregar pequenas equipes de privacidade, (c) sondar fraquezas de segurança. O padrão "manifestamente infundada ou excessiva" do Artigo 12(5) do GDPR é intencionalmente restrito — você pode cobrar uma taxa razoável ou recusar, mas a documentação do motivo deve ser minuciosa.
Salvaguardas operacionais: limitar a taxa de recepção por formulário web anônimo; exigir uma verificação de identidade de Nível 3 antes de divulgar dados sensíveis; limitar o volume de envios automatizados de um único IP/e-mail; e sinalizar padrões (por exemplo, DSARs em série de domínios de e-mail de concorrentes) para revisão sênior.
Sob o GDPR, geralmente não — o Artigo 12(5) torna as respostas gratuitas, a menos que as solicitações sejam manifestamente infundadas ou excessivas. O CCPA também proíbe taxas para as duas primeiras solicitações em um período de 12 meses. O PDPA de Singapura permite uma taxa razoável.
Tecnicamente sim, se os backups forem razoavelmente recuperáveis, mas as Autoridades de Supervisão aceitam que os backups não precisam ser pesquisados em tempo real se sua política de retenção estiver documentada e você se comprometer a excluir os dados dos backups quando eles forem renovados. Documente essa abordagem.
O mesmo direito, mas frequentemente com maior volume e mais sensível (avaliações de desempenho, anotações de gestores, logs de monitoramento). O §26 da BDSG alemã impõe uma sensibilidade específica aos dados de empregados. Tenha rotinas de extração específicas para RH e envolva um advogado trabalhista em DSARs em contexto de litígio laboral.
Sim — e o Artigo 22 do GDPR acrescenta o direito a informações significativas sobre a lógica envolvida, a importância e as consequências previstas da tomada de decisão automatizada. A Lei de IA da UE amplia isso para IA de alto risco sob o Artigo 26(11).
A RegulatoryBridge entrega um pipeline de DSAR pronto para uso — formulários de recepção, fluxo de verificação, biblioteca de extratores de sistema, revisor de ocultação, criptografia de entrega, log de auditoria — cobrindo todos os regimes de privacidade no escopo.