Gestire una DSAR (Richiesta di Accesso dell'Interessato)
Ai sensi dell'Art. 15 GDPR, gli utenti possono richiedere una copia di tutti i dati che detenete su di loro — inclusa la loro cronologia del consenso. Dovete rispondere entro 30 giorni.
Cosa detiene ConsentForge su un utente
ConsentForge archivia:
- Decisioni di consenso (per categoria, per timestamp)
- Catena HMAC delle ricevute
- IP e user agent con hash (non reversibili a dati personali)
Poiché gli identificatori sono sottoposti a hash unidirezionale, ConsentForge non può cercare un utente tramite email. Dovete ricostruire l'hash dall'IP e dal browser dell'utente.
Passo 1: Ottenete l'hash dell'utente
Avrete bisogno di:
- L'indirizzo IP dell'utente al momento della decisione di consenso (dai log del vostro server)
- La stringa user agent (dai log del vostro server o dal loro browser)
Ricostruite l'hash:
const crypto = require('crypto');
const hash = crypto
.createHash('sha256')
.update(`${ip}|${userAgent}|${propertyId}|${date}`)
.digest('hex');
Passo 2: Cercate le ricevute
Dashboard → Prove → Cerca → inserite l'hash → visualizzate tutte le ricevute per quell'identificatore.
Oppure tramite API:
GET /api/v1/receipts?property_id=prop_abc&user_id={hash}
Authorization: Bearer YOUR_API_TOKEN
Passo 3: Esportate la catena di ricevute
Dai risultati della ricerca, cliccate su Esporta PDF per scaricare una catena di ricevute leggibile da fornire all'interessato.
Passo 4: Richieste di cancellazione (Art. 17)
Poiché ConsentForge archivia solo hash (non dati personali), non c'è nulla da cancellare — l'hash non può essere collegato all'individuo da nessuno, incluso ConsentForge. Potete menzionare questo nella vostra risposta alla DSAR.
Se l'utente insiste, potete eliminare ricevute specifiche tramite:
DELETE /api/v1/receipts/{receipt_id}
Authorization: Bearer YOUR_API_TOKEN
Nota: l'eliminazione delle ricevute potrebbe influire sulla vostra capacità di dimostrare la conformità per quel periodo.
Vedi anche: Ricevute di Consenso · Trattamento dei Dati