La forma en que su empresa responde a una solicitud de datos puede decir mucho sobre la seriedad con la que se toma la privacidad. Una respuesta clara y bien gestionada genera confianza, pero una respuesta vaga o tardía puede frustrar a los usuarios y aumentar los riesgos de incumplimiento.
A medida que el volumen de solicitudes de acceso, rectificación y supresión de datos (DSAR) sigue aumentando en las principales leyes de privacidad de datos, como el rgpd la CCPA, la comunicación oportuna y transparente ya no es opcional.
En este artículo, explico qué son las DSAR, comparto ejemplos de respuestas adecuadas e inadecuadas para los tipos más comunes y explico cómo Termly ayudarte a gestionarlas de forma eficiente.
¿Qué son los DSAR?
Una solicitud de acceso de los interesados (DSAR) es cuando alguien solicita a su empresa acceder, modificar, eliminar o transferir los datos personales que usted tiene sobre ellos.
Estas solicitudes otorgan a las personas un mayor control sobre su información y hacen que las empresas rindan cuentas sobre cómo utilizan dicha información.
Las DSAR son obligatorias en virtud de las principales leyes de privacidad, como elReglamento General de Protección de Datos (rgpd), la Ley de Privacidad del Consumidor de California y otras leyes estatales emergentes en los Estados Unidos. Dependiendo de la ley, los usuarios pueden tener derecho a:
- Consulte los datos que ha recopilado sobre ellos.
- Solicitar correcciones o eliminaciones
- Excluirse del intercambio de datos o de la publicidad dirigida
- Recibir sus datos en un formato portátil.
Cada solicitud merece un tratamiento cuidadoso, no solo para cumplir con los plazos legales, sino también para mantener la confianza de los usuarios. A medida que más usuarios toman conciencia de sus derechos de privacidad, las solicitudes de DSAR están aumentando rápidamente en todas las regiones.
Más información sobre las últimas tendencias y estadísticas de DSAR.
Respuestas adecuadas frente a respuestas inadecuadas a las solicitudes de acceso a datos personales (DSAR)
Incluso cuando las empresas cumplen las mismas leyes de privacidad, la calidad de sus respuestas puede variar considerablemente. Algunas hacen que el proceso sea sencillo, respetuoso y transparente, mientras que otras dejan a los usuarios confundidos o ignorados.
A continuación, desglosamos ejemplos de respuestas adecuadas e inadecuadas a solicitudes de acceso a datos personales (DSAR) para los tipos de solicitudes más comunes y explicamos qué diferencia una respuesta eficaz de una respuesta arriesgada.
1. «Dime qué datos tienes» (solicitud de acceso)
Este es el tipo más común de DSAR que recibe la plataforma Termly
Estas solicitudes, también conocidas como solicitudes de acceso, piden a una empresa que comparta qué información personal tiene sobre un usuario, cómo se utiliza y con quién se comparte.
Escenario real
Trabajas para una empresa de comercio electrónico que vende artículos para el hogar.
Un cliente te envía un correo electrónico preguntándote:
«¿Puede decirme qué datos tiene sobre mí y cómo se utilizan?»
Ejemplo de respuesta incorrecta
«Todas nuestras prácticas en materia de datos se explican en nuestra política de privacidad. Puede consultarla aquí: [enlace]».
Esta respuesta desestima la solicitud en lugar de abordarla.
Dirigir a un usuario a una política de privacidad no satisface una solicitud de acceso, ya que no confirma qué datos se almacenan realmente, cómo se procesan o si se han compartido con terceros.
También da la impresión de que su empresa no cuenta con un proceso fiable para recuperar y presentar datos personales.
Ejemplo de buena respuesta
«Gracias por ponerse en contacto con nosotros en relación con sus datos. Hemos localizado su cuenta con el correo electrónico [[email protected]]. Según su actividad, actualmente almacenamos su nombre, dirección de correo electrónico, información de envío e historial de pedidos.
Recopilamos estos datos para procesar compras, gestionar su cuenta y enviarle actualizaciones sobre envíos. No vendemos ni compartimos su información con terceros con fines comerciales.
Si lo desea, podemos proporcionarle una exportación completa de sus datos personales en un archivo descargable. Por motivos de seguridad, confirme esta dirección de correo electrónico antes de continuar.
Esta respuesta es clara, directa y centrada en el usuario.
Reconoce la solicitud, especifica qué información se conserva y explica por qué se recopila.
También toma las medidas de seguridad adecuadas al pedir al usuario que confirme su identidad antes de compartir datos adicionales.
Para llevar
Una buena respuesta a una solicitud de acceso proporciona claridad y tranquilidad. Debe identificar los datos que se conservan, describir cómo se utilizan y explicar los siguientes pasos para su entrega segura o seguimiento.
2. "Borrar mis datos" (Solicitud de borrado)
La segunda solicitud más común que recibe la plataforma DSAR Termlyes la solicitud de eliminación.
También conocido como derecho de supresión o derecho al olvido, permite a las personas solicitar a una empresa que elimine de forma permanente su información personal de sus sistemas.
Escenario real
Trabajas para una aplicación de fitness basada en suscripción.
Un antiguo suscriptor se pone en contacto con tu equipo y dice:
«Cancelé mi cuenta hace unos meses. Por favor, eliminen todos mis datos de su sistema».
Ejemplo de respuesta incorrecta
«No podemos eliminar sus datos porque forman parte de los registros de nuestro sistema».
Esta respuesta no reconoce los derechos del usuario y no ofrece ninguna explicación ni indica los pasos a seguir.
Aunque algunos datos deban conservarse por motivos legales u operativos, rechazar la solicitud sin dar explicaciones viola el espíritu de las leyes de privacidad y frustra a los usuarios.
Ejemplo de buena respuesta
«Hemos recibido su solicitud de eliminar los datos de su cuenta. La mayor parte de su información personal, incluyendo su nombre, dirección de correo electrónico e historial de entrenamientos, ha sido eliminada de forma permanente de nuestros sistemas activos.
Algunos registros, como el historial de pagos, deben conservarse por motivos contables y de cumplimiento normativo, pero se almacenan de forma segura y no se utilizan para ningún otro fin.
Tu solicitud ya está completa y recibirás un correo electrónico de confirmación una vez que todos los datos asociados se hayan eliminado del almacenamiento de copia de seguridad.
Esta respuesta confirma la solicitud, explica qué datos se pueden eliminar y cuáles no, y proporciona una confirmación clara de que se ha completado el proceso.
Equilibra las obligaciones legales con la transparencia, garantizando al usuario que sus datos se han gestionado de forma adecuada.
Para llevar.
Una respuesta firme ante una eliminación debe comunicarse con claridad y cumplir lo prometido.
Si es necesario conservar determinados datos por motivos de cumplimiento normativo, explique por qué y asegure al usuario que no se utilizarán para ningún otro fin.
Una negativa vaga o una explicación parcial pueden hacer que los usuarios duden de tu transparencia y aumentar el riesgo de quejas reglamentarias.
3. «No vender ni compartir mis datos» (solicitud de exclusión voluntaria)
Las solicitudes de exclusión voluntaria son cada vez más frecuentes a medida que las leyes de privacidad, como la CCPA, amplían los derechos de los usuarios para limitar la forma en que se comparten o utilizan sus datos para la publicidad dirigida.
Estas solicitudes de los usuarios suelen pedir a las empresas que dejen de vender o compartir información personal con terceros.
Escenario real
Trabajas para un minorista online que utiliza socios publicitarios para llevar a cabo campañas específicas.
Un comprador envía un correo electrónico a su equipo de privacidad diciendo:
«No quiero que mis datos se compartan ni se vendan con fines publicitarios».
Ejemplo de respuesta incorrecta
«No vendemos datos personales».
Aunque esto puede ser cierto en un sentido estricto, no tiene en cuenta la intención más amplia de la solicitud.
Muchas leyes de privacidad definen el término «compartir» de manera que incluye ciertos tipos de publicidad dirigida o seguimiento del comportamiento en distintos contextos.
Rechazar la solicitud de plano demuestra una falta de comprensión y podría dar lugar a quejas de los usuarios o a un escrutinio legal.
Ejemplo de buena respuesta
«Hemos recibido su solicitud de exclusión voluntaria del intercambio de datos con fines publicitarios. Sus preferencias se han actualizado y su información ya no se compartirá con nuestros socios publicitarios o analíticos.
Puede revisar o cambiar esta configuración en cualquier momento visitando el enlace «No vender ni compartir mi información personal» que se encuentra en el pie de página de nuestro sitio web. Tenga en cuenta que es posible que siga viendo anuncios generales que no se basan en datos personales.
Esta respuesta confirma que se ha recibido la solicitud, explica las medidas tomadas y proporciona al usuario una forma sencilla de revisar o actualizar sus preferencias más adelante.
Evita la jerga jurídica sin perder precisión ni transparencia.
Para llevar
Una respuesta de exclusión voluntaria eficaz confirma que se han aplicado las preferencias del usuario y aclara qué tipos de uso de datos continuarán.
Aunque su empresa no «venda» datos en el sentido tradicional, abordar directamente las preocupaciones de los usuarios demuestra que respeta sus decisiones en materia de privacidad y comprende la intención que subyace a las leyes de protección de datos.
4. "Envíame mis datos" (Solicitud de portabilidad)
También conocida como solicitud de portabilidad de datos, esta DSAR permite a los usuarios recibir una copia de sus datos personales en un formato que se puede transferir fácilmente a otro servicio.
El objetivo es dar a las personas más control y flexibilidad sobre sus datos, especialmente cuando cambian de proveedor.
Escenario real
Trabajas para una herramienta de gestión de proyectos basada en la nube.
Un cliente se pone en contacto diciendo:
«Voy a trasladar mis proyectos a otra plataforma. ¿Me pueden enviar una copia de todos mis datos?»
Ejemplo de respuesta incorrecta
«En este momento no ofrecemos la exportación de datos a los usuarios».
Esta respuesta ignora los derechos del usuario y no ofrece ninguna alternativa.
Rechazar una solicitud de portabilidad de datos sin explicación ni seguimiento puede considerarse un incumplimiento de leyes como el rgpd la CCPA, y hace que los usuarios se sientan impotentes respecto a su información.
Ejemplo de buena respuesta
«Hemos verificado su identidad y hemos preparado una copia de sus datos personales, incluidos los detalles de su cuenta, la información del proyecto y los archivos cargados.
Puede descargar esta información de forma segura utilizando el enlace cifrado que aparece a continuación. El enlace permanecerá activo durante siete días y el archivo se proporciona en un formato legible por máquina (.CSV).
Si necesita ayuda para importar sus datos a otra plataforma, no dude en ponerse en contacto con nosotros.
Esta respuesta demuestra transparencia, seguridad y asistencia al usuario.
Confirma la verificación, especifica los datos incluidos y los proporciona en un formato portátil y accesible. También ofrece ayuda si el usuario tiene preguntas adicionales, lo que demuestra un enfoque orientado al servicio en materia de cumplimiento.
Para llevar
Una respuesta sólida en materia de portabilidad ofrece a los usuarios un acceso claro a sus datos en un formato seguro, estructurado y utilizable. No basta con decir simplemente que no se puede proporcionar.
Las empresas deben contar con un proceso para entregar la información de forma segura y puntual.
Esto no solo cumple con las obligaciones legales, sino que también refuerza la confianza en las prácticas de datos de su empresa.
5. «Tengo una solicitud especial» (solicitud basada en comentarios)
Muchos formularios DSAR incluyen un campo de comentarios abierto que permite a los usuarios proporcionar contexto adicional o combinar varios derechos de privacidad en una sola solicitud.
Estas «solicitudes especiales» no siempre encajan perfectamente en una única categoría jurídica, pero aún así merecen un examen minucioso y una respuesta meditada.
Escenario real
Trabajas para una empresa de software que ofrece cuentas gratuitas y de pago.
Un usuario envía un formulario DSAR con el siguiente comentario:
«Por favor, envíenme todos los datos que hayan recopilado sobre mi cuenta en los últimos seis meses y eliminen mi información de contacto si ya no estoy activo».
Ejemplo de respuesta incorrecta
«Solo tramitamos solicitudes DSAR estándar, como las de acceso o eliminación. Envíe una de esas solicitudes en su lugar».
Esta respuesta ignora los detalles del comentario del usuario y le obliga a realizar un trabajo adicional para adaptarse al sistema de la empresa.
Aunque la solicitud no se ajuste perfectamente a un derecho de privacidad específico, rechazarla demuestra una falta de flexibilidad y atención al cliente.
Ejemplo de buena respuesta
«Gracias por aclarar su solicitud. Usted solicitó ver cualquier dato recopilado en los últimos seis meses y eliminar su información de contacto si su cuenta está inactiva.
Actualmente estamos recopilando los datos de ese periodo y compartiremos un resumen una vez que hayamos terminado. Si confirmamos que tu cuenta está inactiva, eliminaremos tu información de contacto y te notificaremos una vez que el proceso haya finalizado.
Por favor, háganos saber si desea revisar registros antiguos o limitar la eliminación a tipos de datos específicos.
Esta respuesta reconoce la naturaleza única de la solicitud, demuestra una escucha activa y establece expectativas claras.
Esto demuestra que la empresa está dispuesta a colaborar con el usuario en lugar de basarse en categorías rígidas.
Para llevar
Cuando los usuarios envían solicitudes especiales o basadas en comentarios, la flexibilidad y la comunicación son importantes.
Incluso si una solicitud no se ajusta a un derecho específico, dedicar tiempo a comprenderla y responderla de forma reflexiva demuestra responsabilidad y refuerza la confianza del usuario.
Cómo Termly te Termly gestionar las solicitudes de acceso a datos personales (DSAR)
La gestión manual de las DSAR puede convertirse rápidamente en una tarea abrumadora, especialmente a medida que aumentan las solicitudes y las leyes de privacidad siguen evolucionando. Ahí es donde entra en juego la solución DSAR TermlyDSAR de Termly .
Con Termly, puedes crear y gestionar solicitudes de datos en un solo lugar, lo que garantiza que cada envío se gestione de forma eficiente, segura y de acuerdo con las normas de privacidad internacionales.
- Configure un formulario DSAR en cuestión de minutos: configure un formulario alojado o incrustable que permita a los usuarios solicitar fácilmente el acceso a sus datos.
- Hazlo accesible desde cualquier lugar: añade el formulario a tu sitio web o aplicación, para que los usuarios siempre sepan cómo ponerse en contacto contigo.
- Reciba notificaciones automáticas: reciba alertas instantáneas por correo electrónico cuando se envíe una nueva solicitud, lo que ayudará a su equipo a responder rápidamente y mantenerse organizado.
- Cumpla con los requisitos de privacidad globales: la solución DSAR Termlyes compatible con los principales marcos normativos, como el rgpd, la CCPA/CPRA, la VCDPA y otros, lo que ayuda a su empresa a cumplir con las obligaciones de privacidad en todo el mundo.
Al utilizar las herramientas Termly, las empresas pueden simplificar la admisión, automatizar la comunicación y mantener un registro claro de cada solicitud, todo ello sin necesidad de crear un sistema desde cero.
Responder a las solicitudes de acceso a los datos personales no solo es una cuestión de cumplir con la ley, sino también de demostrar a los usuarios que sus derechos sobre los datos son importantes.
Cada respuesta es una oportunidad para generar transparencia y confianza. Ya sea que se trate de una simple solicitud de acceso o de una compleja consulta de eliminación, el enfoque adecuado marca la diferencia.
Más sobre el autor
Escrito por Hanna De La Garza
Hanna es redactora de contenidos en Termly, donde crea recursos atractivos sobre privacidad de datos, gestión del consentimiento, actualizaciones normativas y mucho más. Se centra en hacer que los temas complejos sean accesibles para los propietarios de empresas y contribuye tanto a las nuevas iniciativas de contenido como a las actualizaciones de los materiales existentes para garantizar la precisión y la claridad.
Más sobre el autor
Revisado por Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directora de Privacidad Global
