Dreptul de acces implică faptul că o firmă va trebui să îi permită unei persoane fizice accesul la datele pe care prima le deține despre cea din urmă. În acest sens, o companie va fi obligată să îi dea solicitantului o copie după datele personale deținute despre acesta. Avocatnet.ro a mai scris, în trecut, despre dreptul de acces: puteți citi materialele relevante aici și aici.
Se pare, însă, că dreptul de acces poate „fi folosit în mod fraudulos”, de către alte persoane decât cea vizată de datele solicitate, conform unui articol apărut pe site-ul nakedsecurity.sophos.com. Potrivit articolului, un cercetător britanic a încercat să vadă dacă poate obține informații despre logodnica sa, prezentându-se drept aceasta din urmă (folosing exclusiv date existente pe internet). Cercetătorul a solicitat unui număr mare de companii datele personale deținute despre logodnica sa, multe oferindu-i acele informații.
Prin aceasta, s-a demonstrat faptul că multe companii nu verifică identitatea reală a persoanei care solicită și, astfel, se poate ajunge la fraudare. Mai mult, conform articolului, există și riscul furtului de identitate, întrucât multe date personale sunt conținute pe internet. Astfel, oricine le vede undeva poate încerca să obțină mai multe detalii despre persoana în cauză, prin solicitarea, în mod fraudulos, de informații de la companii, în baza dreptului de acces.
Ce pot să facă firmele pentru a se proteja
În esență, acestea trebuie să aibă proceduri clar implementate prin care să verifice solicitările în baza dreptului de acces al indivizilor. Este ușor, însă, pentru firme să se concentreze doar pe proceduri eficiente, prin care să răspundă cât mai rapid solicitărilor. Însă dacă nu se concentrează și pe prevenirea fraudelor, ele sunt expuse unui alt tip de încălcare a regulamentului: o divulgare ilegală a datelor.
De exemplu, Autoritatea britanică în domeniu oferă o serie de informații de ajutor în privința respectării dreptului de acces la date personale, aici. În primul rând, Autoritatea britanică se referă la faptul că, atunci când există dubii cu privire la identitatea solicitantului, pot fi solicitate informații suplimentare, pentru clarificare, însă doar în limita a ceea ce este necesar. Aceste informații suplimentare pot însemna inclusiv solicitări de copii după un card de identitate. Însă exemplele pot fi variate: un furnizor de servicii ar putea să solicite numărul de contract al clientului sau o bancă ar putea cere informații despre ultimele tranzacții.
După aceea, trebuie menționat că solicitările care se fac pentru alte persoane nu sunt, în sine, interzise. Pot exista cazuri când acest lucru este chiar justificat: de exemplu, un avocat reprezentându-și clientul. Însă diferența dintre această ipoteză și cea menționată mai sus (privitoare la cercetătorul care a cerut, în mod fraudulos, informații despre logodnica sa) este că, în cazul de față, există transparență cu privire la scopul urmărit: solicitantul nu se prezintă drept persoana ale cărei date sunt solicitate, ci drept un reprezentant al acesteia. De aceea, firmele ar trebui să solicite un document care să ateste împuternicirea.