Tratar um DSAR (Pedido de acesso do titular dos dados)
Ao abrigo do Art. 15 RGPD, os utilizadores podem solicitar uma cópia de todos os dados que detém sobre eles — incluindo o seu histórico de consentimento. Deve responder no prazo de 30 dias.
O que o ConsentForge detém sobre um utilizador
O ConsentForge armazena:
- Decisões de consentimento (por categoria, por timestamp)
- Cadeia HMAC de recibos
- IP e user agent com hash (não reversíveis para dados pessoais)
Como os identificadores são hash unidirecional, o ConsentForge não pode pesquisar um utilizador por email. Precisa de reconstruir o hash a partir do IP e do browser do utilizador.
Passo 1: Obter o hash do utilizador
Precisará de:
- Endereço IP do utilizador no momento da decisão de consentimento (dos seus logs de servidor)
- Cadeia de user agent (dos seus logs de servidor ou do browser do utilizador)
Reconstrua o hash:
const crypto = require('crypto');
const hash = crypto
.createHash('sha256')
.update(`${ip}|${userAgent}|${propertyId}|${date}`)
.digest('hex');
Passo 2: Pesquisar recibos
Painel → Evidências → Pesquisar → introduza o hash → visualize todos os recibos para esse identificador.
Ou via API:
GET /api/v1/receipts?property_id=prop_abc&user_id={hash}
Authorization: Bearer YOUR_API_TOKEN
Passo 3: Exportar a cadeia de recibos
Nos resultados da pesquisa, clique em Exportar PDF para descarregar uma cadeia de recibos legível para fornecer ao titular dos dados.
Passo 4: Pedidos de apagamento (Art. 17)
Como o ConsentForge armazena apenas hashes (não dados pessoais), não há nada para apagar — o hash não pode ser associado ao indivíduo por ninguém, incluindo o ConsentForge. Pode indicar isto na sua resposta ao DSAR.
Se o utilizador insistir, pode eliminar recibos específicos via:
DELETE /api/v1/receipts/{receipt_id}
Authorization: Bearer YOUR_API_TOKEN
Nota: eliminar recibos pode comprometer a sua capacidade de demonstrar conformidade para esse período.
Veja também: Recibos de consentimento · Processamento de dados