Cuando alguien presenta una Solicitud de Acceso del Sujeto de Datos (DSAR), está ejerciendo su derecho legal a acceder, modificar o controlar los datos personales que una empresa tiene sobre él.
Los volúmenes de DSAR presentados a través de Termly muestran lo pronunciado que ha sido el aumento: Las solicitudes de CCPA crecieron un 246% entre 2021 y 2024, mientras que las dergpd aumentaron un 222% en el mismo periodo.
Con la aparición de nuevas leyes estatales sobre privacidad y el aumento de la concienciación de los usuarios, se puede afirmar con seguridad que los DSAR ya no son raros ni opcionales para las empresas.
En este artículo analizo los cinco tipos más comunes de DSAR que es probable que reciba y comparto los pasos prácticos que puede dar para gestionarlos sin problemas.
Los tipos más comunes de DSAR
Aunque las leyes de privacidad difieren en su redacción exacta y en sus directrices, hay cinco derechos de privacidad comunes que los consumidores suelen presentar en los DSAR para que se cumplan, como pone de relieve el conjunto de datos de Termlyde casi 60.000 solicitudes.
A continuación, desgloso cada tipo, por qué es importante y cómo debe responder su empresa.
1. "Dígame qué datos tiene" (Solicitud de información)
Porcentaje de todas las solicitudes: 43.9% (Termly)
Los DSAR, la solicitud más común con diferencia, piden que se aclare qué información personal ha recopilado una empresa sobre una persona, por qué se recopiló y con quién se ha compartido.
Este derecho está en el corazón de casi todas las leyes de privacidad, incluidas la CCPA y la rgpd, que consideran la transparencia como la base de la protección de datos.
Por qué los usuarios hacen esta petición
Muchas personas no están seguras de lo que realmente rastrean las empresas, por lo que esta petición suele ser el primer paso para generar confianza.
Algunos usuarios realizan solicitudes de acceso antes de decidir si eliminan sus datos.
Cómo deben responder las empresas
Para gestionar eficazmente las solicitudes de acceso, las empresas deben centrarse en la claridad, la precisión y la entrega de la información de forma sencilla.
- Lleve un inventario detallado de los datos y un mapa de los lugares donde se almacenan los datos personales.
- Ofrezca respuestas claras y redactadas en un lenguaje sencillo, no en jerga jurídica.
- Compartir categorías, fines y divulgación a terceros, y entregar la información de forma segura dentro del plazo requerido.
2. "Borrar mis datos" (Solicitud de borrado)
Porcentaje de todas las solicitudes: 17.7% (Termly)
Sólo superadas por las solicitudes de conocimiento, las solicitudes de supresión permiten a los usuarios pedir la eliminación de su información personal.
En virtud de rgpd, esto se conoce como "derecho al olvido", y en virtud de la CCPA, las empresas deben respetar la supresión a menos que se aplique una exención.
Por qué los usuarios hacen esta petición
Las personas pueden solicitar la eliminación por cualquier motivo.
Algunos ejemplos podrían ser cuando dejan de utilizar un servicio, cuando se sienten incómodos con el uso que se hace de los datos o cuando simplemente quieren reducir su huella digital.
Cómo deben responder las empresas
A la hora de responder a las solicitudes de supresión, la clave está en encontrar un equilibrio entre los requisitos legales de conservación y el derecho del usuario a que se elimine su información.
- Verifique si tiene una base legal para conservar los datos (por ejemplo, obligaciones de cumplimiento).
- Cree flujos de trabajo que eliminen información de todos los sistemas, no sólo de la base de datos principal.
- Confirme siempre al usuario una vez completada la eliminación.
3. "No venda ni comparta mis datos" (solicitudes de exclusión voluntaria)
Porcentaje de todas las solicitudes: 12.3% (Termly)
Estas solicitudes de exclusión tienen como principal objetivo impedir que las empresas vendan o compartan datos personales, especialmente con fines publicitarios o de elaboración de perfiles.
La CPRA amplió los derechos de exclusión voluntaria de California para incluir la publicidad conductual entre contextos, lo que permite a los usuarios impedir que sus datos se utilicen para crear perfiles específicos.
Por qué los usuarios hacen esta petición
Es posible que los usuarios conocedores de la privacidad no quieran que sus datos se utilicen para alimentar anuncios dirigidos, y las nuevas leyes estatales les dan más control que nunca.
Cómo deben responder las empresas
Las solicitudes de exclusión requieren procesos claros que garanticen que las decisiones de los usuarios se respetan de forma coherente en todos los sistemas y socios.
- Muestre un enlace claro "No venda ni comparta mis datos personales" en su sitio web.
- Asegúrese de que las exclusiones voluntarias se respetan en todas las herramientas y redes publicitarias.
- Integre las preferencias de exclusión voluntaria con su plataforma gestión del consentimiento para que se apliquen automáticamente.
4. "Envíame mis datos" (Solicitud de portabilidad)
Porcentaje de todas las solicitudes: 12.3% (Termly)
También conocido como derecho a la portabilidad de los datos, estas solicitudes le obligan a proporcionar a los usuarios una copia de sus datos personales en un formato que puedan utilizar en otro lugar.
La rgpd popularizó por primera vez este derecho, pero ahora también se refleja en múltiples leyes estatales estadounidenses.
Por qué los usuarios hacen esta petición
La portabilidad de datos consiste en dar a los usuarios flexibilidad y control.
Algunas personas pueden hacer esta solicitud para mantener un archivo personal, mientras que otras pueden querer transferir su información a un competidor o a un nuevo servicio más fácilmente.
Cómo deben responder las empresas
Las solicitudes de portabilidad exigen métodos de entrega seguros y estructurados que den a los usuarios el control sobre su información sin exponerla a riesgos.
- Proporcione los datos en un formato comúnmente utilizado y legible por máquina, como CSV.
- Entréguela de forma segura, con el cifrado adecuado y sólo después de verificar la identidad del solicitante.
- Guarde un registro de lo que se compartió por si surgen preguntas más adelante.
5. "Tengo una petición especial" (Especifique el comentario)
Porcentaje de todas las solicitudes: 6.4% (Termly)
Los formularios DSAR suelen incluir un campo de texto libre para comentarios.
Aunque no es una categoría formal de derechos, este espacio permite a los usuarios aclarar su petición, combinar varios derechos o plantear preocupaciones singulares.
Por qué los usuarios hacen esta petición
Es posible que deseen una búsqueda más restringida (por ejemplo, "muéstreme sólo lo que ha recopilado en el último año"), o que señalen una preocupación que no encaja claramente en los derechos existentes.
Cómo deben responder las empresas
Dado que las solicitudes basadas en comentarios suelen quedar fuera de las categorías jurídicas estrictas, el mejor enfoque de respuesta es la flexibilidad y la comunicación abierta.
- Lea atentamente estos comentarios; a menudo proporcionan un contexto que ahorra tiempo.
- Si no está claro, póngase en contacto con el solicitante para que se lo aclare antes de continuar.
- Aunque el comentario no cree una nueva obligación legal, una respuesta respetuosa contribuye en gran medida a generar confianza.
¿Qué son los DSAR?
Un DSAR es una solicitud formal de una persona para que se actúe sobre sus derechos de privacidad. Aunque los derechos exactos varían en función de la ley, los DSAR suelen permitir a las personas:
- Acceder a sus datos personales y saber cómo se utilizan
- Borrar su información si ya no desea que una empresa la conserve
- Corregir datos inexactos u obsoletos
- Limitar o rechazar determinados tipos de tratamiento, como la publicidad selectiva.
- Recibir una copia de sus datos en formato portátil
En resumen, los DSAR dan a las personas más control sobre su huella digital y responsabilizan a las empresas de cómo manejan la información personal.
El creciente panorama DSAR
Los últimos años han dejado clara una cosa: la actividad de DSAR no se está ralentizando, sino acelerando.
Entre las nuevas leyes de privacidad, la creciente concienciación de los consumidores y una aplicación más estricta, las empresas están recibiendo más solicitudes que nunca. Estas son las cifras:
Los volúmenes de DSAR aumentan.
Las solicitudes de CCPA presentadas a través de Termly crecieron un 246% entre 2021 y 2024, y casi se duplicaron solo de 2023 a 2024.
Las solicitudes rgpd aumentaron un 222% en el mismo periodo, lo que refleja una creciente concienciación mundial sobre los derechos de los datos.
En el primer trimestre de 2025, los sitios que utilizan Termly ya registraron más solicitudes que en cualquier trimestre anterior, lo que supone otro año de crecimiento.
Las nuevas leyes estatales están impulsando una nueva actividad.
Las normativas de Colorado, Connecticut, Utah y Virginia han introducido categorías adicionales de DSAR, desde el derecho a corregir los datos hasta nuevas exclusiones voluntarias para información personal sensible.
El compromiso de los usuarios es mayor que nunca.
Según Statista, el 36% de los usuarios de Internet de todo el mundo ejercieron sus derechos DSAR en 2024, frente a solo el 24% en 2022.
En conjunto, estos cambios indican que las DSAR no sólo están aumentando en número, sino que también se están volviendo más complejas y consecuentes.
Para las empresas, el reto no es sólo responder a las solicitudes, sino hacerlo con rapidez, coherencia y de forma que se refuerce la confianza de los usuarios.
Por qué las empresas deben estar preparadas
El aumento de la actividad DSAR no es sólo una tendencia. Está creando verdaderos retos operativos, financieros y de reputación para las empresas.
Las organizaciones que carecen de un proceso claro corren el riesgo de quedarse rezagadas en varias áreas clave.
Tensión operativa
El número medio de DSAR por sitio web que utiliza Termly creció de 19,4 en 2021 a 61,0 en 2024. Esto significa que incluso las pequeñas y medianas empresas reciben varias solicitudes al mes.
Cada solicitud puede implicar la verificación de la identidad, la búsqueda de datos en múltiples plataformas y una cuidadosa revisión de lo que puede compartirse o eliminarse legalmente.
Para las empresas que dependen de múltiples herramientas o almacenan datos de clientes en varias ubicaciones, la carga de trabajo puede acumularse rápidamente.
Aumento de las reclamaciones
Los usuarios son cada vez más exigentes con el tratamiento de sus datos y no dudan en protestar si una empresa tarda en responder o no es clara en su comunicación.
Aunque una empresa acabe satisfaciendo una solicitud, un proceso torpe puede provocar la frustración de los usuarios y comentarios negativos.
Según EY Law, el 51% de las empresas declararon haber recibido quejas sobre cómo gestionaban los DSAR.
Estas reclamaciones no sólo consumen recursos, sino que también pueden erosionar la confianza de los clientes y llegar a los organismos reguladores si no se resuelven.
Riesgo reglamentario
Los reguladores están prestando atención. La Oficina del Comisionado de Información del Reino Unido, por ejemplo, registró un aumento del 15 % en las reclamaciones relacionadas con DSAR entre 2023 y 2024.
Según rgpd, no responder adecuadamente a un DSAR se considera una violación de los derechos de los interesados, y esas infracciones entran en el nivel de sanción más alto.
Esto significa que las multas pueden alcanzar hasta 20 millones de euros o el 4% de los ingresos anuales globales de una empresa, si esta cifra es superior.
Prepararse para los DSAR no consiste en marcar una casilla de cumplimiento, sino en crear procesos sostenibles que reduzcan el riesgo y refuercen las relaciones con los usuarios.
Las empresas que inviertan ahora en preparación para DSAR estarán mejor equipadas para gestionar la creciente complejidad de las solicitudes en los próximos años.
Cómo le ayuda Termly a gestionar los DSAR
Conocer los tipos de solicitudes que recibirá es sólo la mitad de la batalla. El verdadero reto consiste en gestionarlas de forma eficaz, coherente y conforme a la legislación aplicable a su empresa.
Ahí es donde entra en juego la solución DSAR de Termly.
Con Termly, puede:
- Cree un formulario DSAR en cuestión de minutos: Configure un formulario incrustable o utilice un enlace Termly para que los usuarios puedan enviar sus solicitudes fácilmente.
- Hazlo accesible en todas partes: Añada el formulario directamente a su sitio web o aplicación para que los usuarios sepan siempre cómo ponerse en contacto con usted.
- Reciba notificaciones automáticas: Reciba alertas por correo electrónico en el momento en que alguien envíe un DSAR, para que no se le escape nada.
- Cumpla los requisitos de la CCPA/CPRA: Utilice enlaces prediseñados como "No vender ni compartir mis datos personales" y "Limitar el uso de mis datos personales sensibles directamente desde su panel de control Termly .
- Cumpla la legislación mundial con una única solución: Tanto si está cubierto por la rgpd, CCPA/CPRA, VCDPA, UCPA u otros marcos, Termly le ayuda a mantenerse alineado con los requisitos DSAR mundiales.
Nuestra solución DSAR está diseñada para pequeñas y medianas empresas que carecen de tiempo o recursos para desarrollar flujos de trabajo de cumplimiento desde cero.
En lugar de batallar cuando llegan las solicitudes, Termly ayuda a proporcionar un proceso racionalizado que ahorra tiempo, reduce el riesgo y demuestra a los usuarios que se toma en serio su privacidad.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
