Ctrl+C, Ctrl+Comply: A Ascensão dos DSARs Habilitados por IA
A conscientização dos indivíduos sobre seus direitos de proteção de dados, alimentada em parte por litígios de alto perfil, contribuiu para um aumento sustentado no número de solicitações de acesso do titular de dados (DSARs) que as organizações estão recebendo. Esse aumento parece ser impulsionado, em parte, por solicitações geradas por máquinas, com a IA gerativa produzindo DSARs detalhados e expansivos em segundos, reduzindo a barreira para redigir demandas complexas e de amplo alcance.
Essa mudança está moldando não apenas o volume de DSARs, mas também seu caráter e, com isso, o manual operacional dos controladores. Compreender a anatomia dos DSARs modernos, os riscos de escopos excessivamente amplos e as orientações recentes do Escritório do Comissário de Informação do Reino Unido (ICO) pode ajudar as organizações a gerenciar esse aumento de maneira legal, proporcional e defensável.
IA na Prática: Amplitude e Complexidade dos DSARs
De acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018, os indivíduos têm direito à confirmação do processamento e ao acesso aos seus dados pessoais, juntamente com informações associadas sobre fontes, retenção e salvaguardas. Assim, os DSARs sempre tiveram potencial para serem amplos em escopo, mas agora as solicitações geradas por IA frequentemente vão além de um simples “o que você possui sobre mim?” e buscam todos os tipos de dados concebíveis em todos os sistemas possíveis: e-mails e anexos, plataformas de mensagens, notas de chamadas, sistemas de tickets, arquivos de RH, gravações de CCTV e logs de acesso. Elas também frequentemente exigem a divulgação de parâmetros de busca, os sistemas relevantes e trilhas de auditoria, além de explicações detalhadas sobre quaisquer redacções ou exclusões.
Esse enquadramento pode ter consequências reais para a carga de trabalho e defensibilidade. A menos que a organização tenha um processo disciplinado em vigor, o risco é uma busca extensa e sem foco que gera altos custos de revisão e atrasos. Adicione mesmo um pequeno número de outros DSARs à mistura, e os resultados podem rapidamente se tornar difíceis de gerenciar.
Identificando DSARs Gerados por IA
Uma organização não deve se recusar a cumprir um DSAR válido apenas por causa de seu tom, estilo ou a suspeita de uso de IA pelo solicitante. Dito isso, o reconhecimento precoce das características de um pedido redigido por IA pode ajudar a antecipar a complexidade, estimar o esforço e engajar-se efetivamente com o solicitante.
Indicadores comuns de DSARs redigidos por IA incluem:
- Terminologia incomumente formal ou centrada nos EUA, que contrasta com a linguagem que o indivíduo normalmente usaria.
- Modelos exaustivos listando todos os direitos e isenções legais pelo nome.
- Afirmativas dispersas abrangendo múltiplas jurisdições ou citando regimes inaplicáveis.
- Detalhes pessoais, pronomes ou formatação inconsistentes que sugerem conteúdo colado.
- Texto idêntico ou quase idêntico em múltiplos pedidos recebidos em um curto período.
Nenhuma dessas características é conclusiva por si só, mas, juntas, podem fornecer um sinal útil de que um pedido merece atenção mais próxima na fase de triagem.
O Que as Organizações Podem Fazer
Responder a todos os DSARs, sejam ou não assistidos por IA, requer uma compreensão do que está sendo solicitado e a capacidade de traduzir essa compreensão em uma estratégia de busca documentada, razoável e proporcional.
De acordo com a Lei de Acesso e Uso de Dados de 2025, os controladores devem realizar buscas razoáveis e proporcionais, em vez de uma busca exaustiva de todos os dados pessoais que a organização possa ter sobre o solicitante. A Lei também permite que os controladores “pausam o relógio” no prazo legal para buscar esclarecimentos quando um pedido é confuso ou excessivamente amplo.
Engajamento Precoce sobre Escopo
Se um DSAR se assemelha a um pedido de “tudo e mais um pouco”, há valor em engajar o solicitante em um estágio inicial:
- Pergunte ao solicitante para esclarecer o que realmente está buscando, referindo-se a sistemas específicos, intervalos de datas ou tipos de documentos.
- Explique que parâmetros mais claros permitirão focar as buscas e fornecer respostas precisas.
- Estruture o processo como um diálogo construtivo, em vez de uma tática de atraso, enquanto é transparente com o solicitante de que o prazo legal está sendo suspenso enquanto aguarda sua resposta.
Realizado de maneira adequada, o esclarecimento precoce sobre o escopo ajuda as organizações a fornecer uma resposta proporcional, eficiente e precisa, enquanto minimiza a revisão de materiais irrelevantes e reduz a carga administrativa total ao responder ao DSAR.
Documentação das Decisões sobre Proporcionalidade
Uma vez que uma organização determine o que constitui uma busca razoavelmente proporcional, deve registrar o escopo escolhido, os sistemas incluídos (e excluídos), os fatores considerados e a justificativa que vincula esses fatores às disposições legais relevantes e orientações regulatórias. Esse processo ajudará a demonstrar que a abordagem adotada foi considerada, defensável e adaptada ao pedido em questão.
Documentar decisões é particularmente importante no ambiente atual, pois os reguladores também estão sentindo o impacto da redação assistida por IA – mais visivelmente no aumento dos volumes de reclamações sobre, entre outras coisas, o manuseio de DSARs. Os relatórios mais recentes do ICO confirmaram que as reclamações relacionadas ao Artigo 15 do GDPR do Reino Unido permanecem a maior categoria de reclamações sobre proteção de dados, com números aumentando ano após ano.
Da mesma forma, o Comissário de Proteção de Dados e Liberdade de Informação de Berlim relatou recentemente que recebeu quase 50% mais reclamações de proteção de dados em 2025 em comparação com 2024. O Comissário identificou a IA como o principal motor por trás desse aumento, observando que as avaliações legais nas quais as reclamações geradas por IA se baseiam são frequentemente incompletas ou simplesmente erradas.
O fenômeno da redação de reclamações assistida por IA é parte de uma tendência mais ampla, que não se limita a setores específicos, com escolas e autoridades de planejamento no Reino Unido relatando que estão sendo inundadas com cartas de reclamação e objeções geradas por IA. Em última análise, essas tendências refletem a facilidade com que reclamações subsequentes podem agora ser geradas, significando que respostas mal estruturadas ou documentação fraca podem potencialmente transformar um DSAR rotineiro em uma escalada regulatória.
Gerenciando os DSARs Modernos
Ao mesmo tempo em que a IA contribui para o aumento de DSARs e reclamações associadas, ela também pode ser parte do kit de ferramentas de conformidade de uma organização, desde que seja implantada de forma reflexiva e com a supervisão adequada. As organizações estão cada vez mais recorrendo a soluções impulsionadas por IA para simplificar e escalar partes de seu processo de DSAR. Entre outras coisas, plataformas de IA podem automatizar a descoberta e classificação de dados, pesquisando fontes estruturadas e não estruturadas para identificar dados pessoais relevantes de forma rápida e precisa, reduzindo o esforço manual e o erro humano.
Ao combinar essas tecnologias com revisão humana, que continua a ser importante para todos os DSARs, mas especialmente aqueles com padrões de fatos complexos ou desafiadores, as equipes legais e de conformidade podem transformar o desafio do aumento dos volumes de DSAR em uma oportunidade para aumentar a eficiência, melhorar a precisão e fortalecer a conformidade em toda a organização.
