Solicitudes del usuario sobre acceso a los datos: La base
Revisando las bases de este proceso más común entre las empresas y usuarios.
En un mundo donde hay más consiencia, aceptación y ejercicio de los derechos a la privacidad; es más común para las empresas poder tener presenten solicitudes de un usuario a sus datos dentro de la empresa[1].
Si esto no se trata de manera efectiva, posiblemente incurran en daños a la reputación y una multa financiera a la empresa 😱; pero si se hace a tiempo y con exactitud, se puede mejorar la relación confianza con los involucrados además de cumplir reglamentos legales[1].
En este artículo, buscamos dar una mirada general para que entendamos qué es, el desafio que representa y porque no deberia ser algo que deberia posponerse.
Nota: Este artículo es parte de una serie de artículos que resumen el libro de N. Bhajaria, “Data Privacy: A Runbook for Engineers”. Esta basado en el capítulo 8 del libro.
Solicitud del usuario sobre acceso a los datos: Qué y Porqué
Las empresas cuando implementan un gobierno y protección de la privacidad de datos; voltean a entender los sistemas distribuidos que lo gestionan, que datos almacenan y las inversiones sobre herramientas de control escalables y eficientes de los datos en temas de eliminación, clasificación y categorización[2].
“De las empresas no solo esperan la gestión de los datos; sino dar a los usuario acceso a la copia de sus datos.”
Y esto se debe a que hay leyes que amparan este hecho a los usuarios desde sus diferentes enfoques legales; tales como Ley de Privacidad del Consumidor de California (CCPA), Reglamento General de Protección de Datos (GDPR) o Ley de Protección de datos de braasil[2] por ejemplo; para cubrir el derecho de acceso a los usuarios de sus datos[5].
“El derecho de acceso entrega transparencia al hacer que las empresas digan como recolectan y usan los datos de los usuarios que tienen.”
Solicitud del usuario sobre acceso a los datos; o DSAR por sus siglas en ingles; es el medio para las empresas abordar este requerimiento del usuario desde un nivel tecnológico.
Entendiendo más profundamente
Los lideres de la organización deberian tener algún tipo de entendimiento de la importancia de los DSAR, algunas razones son las siguientes[2]:
- Este requiere que halla una infraestructura, que sea una extensión del gobierno de datos desde el punto de recolección de datos. Lo que requiere un equipo multidisciplinario 🤗.
- Hay varias regulaciones que marcan como es una respuesta valida antes una solicitud como también detalles del proceso 😬; por ejemplo el CCPA permite solicitudes 2 veces al año.
- Cuando se responde a la solicitud; los datos estan fuera de la organización, abiertos al dominio publico y al escrutinio de las personas 😐.
- Un usuario no satisfecho podria ser un problema, si un DSAR lleva a una investigación profunda sobre las practicas de privacidad más amplias de la empresa😨.
“Es dificil responder las solicitudes sin la automatización.”
Esto puede ser desafiante para algunos negocios, por el hecho de que no es algo trivial: requiere juntar diferentes tipos de datos de diferentes sistemas, ponerlos todos juntos, revisar cada registro y compilar los hallazgos en un formato comprensible[2] — en el nivel de detalle entregado y necesario, esta el desafio 😰.
Esto lleva a que se deba entregar detalles al usuario tales como duración de almacenamiento de los datos, control de acceso de los datos, seguridad que posee los datos, con quien comparte los datos la empresa junto a sus nombres, ley que respalda a la compañia sobre el procesamiento de los datos, uso para decisiones automatizadas, confirmación que los datos estan siendo procesados[2][3].
Entonces esto hace que el DSAR obligue que la empresa recolecte, procese, retenga y archive los datos del usuario que permita facilitarlos a petición del mismo; esto dentro del marco de tiempo legal y sentimiento publico[1].
“Recuerda que las diferentes leyes pueden dar matices diferentes al DSAR en sus componentes, como eliminación o divulgación de datos o informar sobre el consenso”
Describiendo el proceso de cumplimiento
Las empresas que tienen procesos pobremente documentados y pocos en cantidad; tienen problemas con los procesos necesarios para escalar los DSAR[4]. La lista de pasos a continuación podria ayudar a cubrir el proceso del DSAR, entregando madurez en este espacio[4].
#1 Registra y valida las solicitudes, ya que es critico documentar la información sobre cuando se recibio, quien lo envio, la forma en como se autentico la identidad del usuario que lo envio, la forma en como se recibio — como correo eletrónico o teléfono por ejemplo— entre otros temás[4].
Algunos puntos técnicos que debemos abordar[4]:
- Deben estar integrado a la plataforma; ya que ayuda más facilmente a ser encontrado por el usuario.
- Personalizado, si hay una covertura multigeografica de la empresa, ya que los DSAR cambia de país en país.
- Tener opciones predefinidas automatizadas con sustento legal para abordar el DSAR de forma más automática.
- Ofrecer formas de explicar explicitamente dentro la solicitud, para comprender la naturaleza de la solicitud.
#2 Identificar al usuario, para evitar filtraciones de datos de malos actores contra los clients, debemos tener suficiente información de la persona con el fin de garantizar que es el dueño de los datos[4]. Métodos como autenticación multiple ayudan en esto.
#3 Coleccionar datos de multiples sistema, pero esto se basa en como descubirmos y categorizamos los datos, ya que pueden estan en sistemas internos como externos además de multiples sistemas. Los temás de inventario y catálogos de datos son bases para abordar mejor estos puntos[4].
#4 Mapear las identidades del usuario para una recopilación precisa, porque es posible que un usuario que solicita un DSAR que haya utilizado varias identidades en la plataforma; por ejemplo usando tanto Facebook ID como Google ID, lo que llevará a tener un mapeamiento de estos métodos de autenticación del usuario para recuperar los datos necesarios para la solicitud[4].
#5 Revisar y aprobar la información; ya que despues de tener los datos del DSAR, el equipo legal y de privacidad debe revisarlos para ver cumple con la jurisdicción donde se pide sin revelar datos personales de otros usuarios. Esta documentación es critica ante eventos que cuestionen la integridad o exactitud del DSAR[4].
#5 Envia de forma segura la información; ya que esto expone a penalidades financieras, si el DSAR se filtra o viola por lo que apropiados métodos de seguridad para ello son requeridos según la clasificación de los datos basado en el riesgos que posee[4].
#6 considere las excepciones del DSAR; ya que además de acceso al uso de los datos, también se puede pedir que se eliminen. Dependiendo de las regulaciones del DSAR; hay excepciones y exenciones que el negocio debe conocer y validar su aplicación con el equipo legal; logrando equilibrar el deseo conservar los datos y privacidad del usuario[4].
Conclusión
La necesidad de abordar lo que son las solicitudes del usuario sobre el acceso a sus datos se volverá más critica en los siguientes días; en un mundo donde la privacidad se vuelve más importante a abordar por parte de los sistemas de información.
El tener una base sobre lo que se requiere es importante; y este artículo entrega esa base tanto para la gente técnica como de gerencia.
Referencias
[1] N. Bhajaria. Data Privacy: A Runbook for Engineers. Manning, 2022. sección 8“Exporting user data: Data Subject Access Requests”.
[2] N. Bhajaria. Data Privacy: A Runbook for Engineers. Manning, 2022. sección 8.1“What are DSARs?”.
[3] N. Bhajaria. Data Privacy: A Runbook for Engineers. Manning, 2022. sección 8.1.1 “What rights do DSAR regulations give to users?”
[4] N. Bhajaria. Data Privacy: A Runbook for Engineers. Manning, 2022. sección 8.1.2 “An overview of the DSAR request fulfillment process”
