En virtud del Reglamento General de Protección de Datos (rgpd), las personas protegidas pueden presentar solicitudes para hacer valer sus derechos de privacidad, que incluyen el derecho a acceder, rectificar, suprimir o transferir sus datos personales.
Pueden hacerlo presentando una solicitud de acceso a los datos (DSAR).
En esta guía, describo qué es un DSAR y cómo afectan al proceso la rgpd y otras leyes, y explico cómo deben responder las empresas cuando los usuarios presentan una de estas solicitudes.
DSAR Definido
Una solicitud de acceso del interesado (DSAR) se refiere a cuando las personas presentan solicitudes para hacer valer los derechos de privacidad que les otorga el Reglamento General de Protección de Datos (rgpd), la ley de privacidad que protege a las personas en Europa.
También se le puede llamar solicitud de acceso o SAR.
Aunque la "A" de DSAR se refiere específicamente a cuando un usuario solicita acceder a la información personal que una organización ha recopilado sobre él, los DSAR pueden presentarse para dar curso a cualquier derecho de privacidad recogido en rgpd.
Ventajas de los DSAR
Lo especial de los DSAR es su versatilidad: ayudan a simplificar el cumplimiento de la rgpd y de la legislación sobre privacidad en general, lo que los hace ideales para las empresas.
Aunque las leyes de otras regiones utilizan términos y normas diferentes, las personas protegidas también pueden presentar técnicamente un DSAR para hacer valer esos derechos legales.
Sus empresas deben contar con un proceso DSAR adaptable para que, cuando un usuario realice una solicitud de derechos de privacidad, su equipo sepa cómo responder de forma oportuna y conforme a la normativa.
¿Qué leyes regulan los DSAR?
La ley original de privacidad de datos que rige las DSAR es la rgpd, que se aplica a cualquier empresa en Europa y a cualquiera que recopile datos de interesados de la UE, independientemente de su ubicación.
Sin embargo, otras leyes también exigen a las empresas que concedan a los usuarios acceso a los datos y otros derechos, y la implantación de un único proceso DSAR puede ayudar a su empresa a cumplir estas directrices legales de forma eficaz y sencilla.
Entre esas leyes adicionales sobre privacidad se incluyen las siguientes:
- Ley General de Protección de Datos de Brasil (LGPD)
- Ley de Privacidad del Consumidor de California (CCPA)
- Ley de Privacidad de Colorado (CPA)
- Ley de Privacidad de Datos de Connecticut (CTDPA)
- Ley de Privacidad del Consumidor de Oregón (OCPA)
- Ley sudafricana de Protección de Datos Personales (POPIA)
- Ley de Privacidad del Consumidor de Utah (UCPA)
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)
Aunque algunos detalles difieren entre las leyes, como el tiempo de respuesta, la mayoría permiten a los consumidores acceder a la información personal, rectificarla o eliminarla, e imponen multas o sanciones si las empresas no responden a las solicitudes.
Los requisitos DSAR en virtud de todas las leyes de privacidad de datos son muy similares.
Por ello, puede utilizar un único formulario DSAR y añadirlo a su sitio web para ayudar a los usuarios de todas las leyes de privacidad a presentar solicitudes para que se actúe sobre los derechos que les han sido otorgados.
¿Para qué derechos pueden presentar DSAR los usuarios?
Los usuarios pueden a DSAR para dar curso a cualquiera de sus derechos de privacidad, que pueden incluir:
- Acceda a
- Corregir o modificar
- Suprimir/derecho al olvido
- Transferencia
- Exclusión de la elaboración de perfiles
- Optar por no vender o compartir datos
- Exclusión de la publicidad selectiva
También se les permite solicitar el seguimiento de varios derechos en un único DSAR.
¿Quién puede presentar un DSAR?
En virtud de la rgpd -y de la mayoría de las leyes de privacidad existentes- cualquier persona o un tercero que actúe en nombre de una persona puede presentar un DSAR, por ejemplo:
- Un padre o tutor puede presentar una solicitud en nombre de un menor
- Un familiar, un ser querido o un amigo íntimo puede presentar una solicitud en nombre de una persona.
- Los servicios de terceros pueden presentar una solicitud en nombre de particulares
- Las empresas pueden enviar DSAR automatizados en nombre de sus clientes.
- Ajustes del navegador del usuario, como controles globales de privacidad o mecanismos universales de exclusión voluntaria.
Las comunicaciones también pueden proceder de usuarios, empleados, clientes u otras personas cuyos datos personales hayan sido recogidos.
En todos los casos, debe verificar la identidad del solicitante y asegurarse de que la solicitud es válida.
¿Cómo se puede presentar un DSAR?
Los consumidores pueden presentar un DSAR a través de cualquier canal de comunicación: correo electrónico, redes sociales e incluso correo ordinario.
En virtud de muchas leyes de protección de la intimidad, los consumidores pueden presentar solicitudes de acceso a los datos de manera informal.
La solicitud puede contener información detallada o simplemente decir: "Me gustaría que eliminaran la información personal que tienen sobre mí".
Para evitar que su empresa reciba DSAR aleatorios en formatos impredecibles, le recomiendo que cree un formulario DSAR y/o un correo electrónico específicos en su sitio web para recibir estas solicitudes.
Puede acceder fácilmente al software DSAR registrándose en Termly, que le ayuda a recopilar y hacer un seguimiento de la información necesaria para gestionar adecuadamente las solicitudes de los consumidores.
También incluye un formulario DSAR como el que se muestra a continuación, que puede incrustar en su sitio web.
Le sugiero que siga supervisando todos los canales de comunicación para asegurarse de que no se pasa por alto ninguna solicitud y evitar así multas por incumplimiento legal.
¿Qué incluye un DSAR?
Técnicamente, no es necesario que una solicitud de acceso del interesado tenga un formato determinado o incluya información específica.
Un particular podría presentar un DSAR simplemente enviando un correo electrónico y diciendo: "Me gustaría conocer toda la información personal que tienen almacenada sobre mí".
Sin embargo, facilita el proceso a su empresa y a los consumidores si les presenta en su sitio web un formulario DSAR que incluya preguntas específicas para que puedan facilitarle los siguientes datos:
- A qué sitio web o aplicación hace referencia el solicitante
- Nombre del solicitante
- Una dirección de correo electrónico u otro medio para enviar una respuesta al solicitante
- Si el solicitante presenta la solicitud para sí mismo o para un tercero
- A qué ley se refiere la solicitud
- Qué derecho o derechos presenta el solicitante para su seguimiento
- Un espacio para que el solicitante deje información y detalles adicionales
Una vez que recibe un DSAR, su empresa debe verificar la identidad del solicitante y aclarar la solicitud si es necesario.
Cómo responder a un DSAR
Para muchas organizaciones, el proceso que se describe a continuación es un buen punto de partida para responder a las solicitudes de acceso de los interesados:
- Determine qué legislación es aplicable: Los requisitos para los tiempos de respuesta varían según la ley, y es posible que no esté legalmente obligado a cumplir con la solicitud si el individuo no está protegido por una legislación como la rgpd o CCPA - es posible que aún desee responder a estas solicitudes para promover las buenas relaciones con los clientes.
- Verificar la identidad del solicitante: Legalmente, debes verificar la identidad del solicitante utilizando la información personal que ya tienes, ya que algunas leyes te prohíben pedir información adicional. Considere la posibilidad de pedir al solicitante que verifique sus datos de acceso o pídale que se ponga en contacto con usted utilizando el método original de registro.
- Aclare la solicitud: Pida al solicitante que aclare la naturaleza exacta de la petición, ya que pueden presentar DSAR para acceder, borrar, transferir, editar, detener la venta de sus datos, etc.
- Verifique la validez de la solicitud: Cuando recibe una DSAR, como usted mismo, ¿es válida la solicitud? ¿Puede completar la solicitud a tiempo? Recuerde que si rechaza la solicitud, debe ponerse en contacto con el solicitante y explicarle por qué.
- Realice una búsqueda de datos: Debe encontrar toda la información personal del solicitante, lo que significa buscar en copias impresas, archivos digitales, cuentas de usuario, servicios de pago y más. Este paso del inventario de datos puede implicar ponerse en contacto con varios equipos de la organización.
-
Responder a la solicitud en el formato correcto: Algunos de los datos que debe incluir en su respuesta son:
- Confirmación de que se ha completado la solicitud
- Instrucciones si el usuario debe completar partes de la solicitud manualmente
- a quién se han comunicado los datos, por ejemplo a terceros
- El plazo para completar cualquier paso adicional
- Una explicación del derecho del usuario a reclamar ante una autoridad reguladora
- una explicación del derecho del usuario a solicitar la modificación o supresión de sus datos o la limitación de su tratamiento
-
Crear un registro de auditoría: Conserve un registro de sus DSAR cumplimentados por si se produce una reclamación de los usuarios o una investigación reglamentaria. Considere la posibilidad de incluir la siguiente información en su registro:
- Tipo de solicitud y fecha
- Estado y datos de finalización
- Categoría del interesado, como "usuario" o "empleado".
- Persona responsable de cumplimentar la solicitud
Su proceso exacto de respuesta a un DSAR puede variar en función de las circunstancias específicas de su empresa, pero recuerde documentar su proceso de respuesta para asegurarse de que gestiona las solicitudes con precisión y equidad.
Verificación de la identidad de una persona
Las empresas son legalmente responsables de verificar la identidad de los consumidores que presentan solicitudes de seguimiento de sus derechos de privacidad.
De este modo se garantiza que los datos personales sólo se comunican a las personas autorizadas.
rgpd lo exige en virtud del considerando 64, que establece que las empresas deben utilizar "medidas razonables"para verificar la identidad del interesado, pero no pueden conservar información con el único fin de reaccionar ante posibles DSAR.
De lo contrario, corresponde a la empresa aplicar un proceso para confirmar la identidad de los consumidores que presentan DSAR.
Entre los métodos habituales de verificación de la identidad figuran:
- Correo electrónico
- Identificación fotográfica
- Preguntas de autenticación basadas en el conocimiento
- Credenciales de acceso del usuario (si ya existen)
- Autenticación multifactor
Dicho esto, no puede pedir más información personal de la que ya tiene acceso al confirmar la identidad de un usuario a menos que sea absolutamente necesario.
¿Quién debe responder a los DSAR?
Las empresas con las que he trabajado han respondido con éxito a los DSAR designando a una sola persona de su equipo responsable de toda la supervisión del proceso.
Puede elegir a un miembro de su equipo de protección de datos o a su responsable de protección de datos (RPD), si su organización cuenta con uno.
La persona que designe debe conocer los aspectos jurídicos de la respuesta a los DSAR para poder responder a ellos y hacer un seguimiento de conformidad con la normativa.
¿Se puede cobrar por un DSAR?
Normalmente, las leyes de privacidad establecen que las empresas no pueden cobrar una tasa por responder a un DSAR.
Sin embargo, algunas leyes hacen excepciones para las solicitudes que se consideran excesivas o infundadas - en estas circunstancias, se permite una tasa razonable.
La responsabilidad de demostrar que la solicitud es excesiva recae en su empresa.
¿Puede negarse a responder a un DSAR?
Sí, dependiendo de la ley, puede negarse a responder a un DSAR en determinadas circunstancias y situaciones, pero siempre debe hacer lo siguiente:
- Informe a la persona de su elección
- Explique por qué deniega su solicitud
- Proporcióneles una vía para recurrir su decisión
Por ejemplo, puede negarse a atender una DSAR si es de naturaleza maliciosa, por motivos legales, para cumplir un contrato o si la solicitud vulnera la intimidad de otra persona.
Otras leyes de protección de datos, como la VCDPA y la CPA, siguen directrices muy similares a las de rgpd y la CCPA a la hora de denegar un DSAR a una persona.
¿De cuánto tiempo dispone para responder a un DSAR?
El plazo para responder a los DSAR varía en función de la legislación aplicable, pero normalmente se dispone de entre 30 y 45 días para responder.
Según rgpd, debe responder en el plazo de un mes natural, pero puede prorrogarlo hasta dos meses siempre que informe al interesado de si es necesaria la prórroga y por qué.
Según las leyes de protección de la intimidad de EE.UU., incluidas la CCPA, la CPA, la CTDPA y la VCDPA, debe responder en un plazo de 45 días y puede ampliarlo otros 45 días siempre que informe a la persona con antelación.
Sanciones por no responder a un DSAR
Si no responde a un DSAR a tiempo, podría ser objeto de multas, acciones legales u otras sanciones dependiendo de la normativa sobre privacidad de datos que se aplique.
He recopilado una lista de sanciones para todas las leyes de privacidad mencionadas en esta guía, que puedes encontrar en la siguiente tabla.
| Ley de protección de datos | Sanciones por incumplimiento |
| RGPD |
|
| CCPA/CPRA |
|
| CPA |
|
| CTDPA |
|
| OCPA |
|
| UCPA |
|
| VCDPA |
|
| LGPD de Brasil |
|
| POPIA de Sudáfrica |
|
Preguntas Frecuentes sobre DSAR
A continuación respondo a algunas de las preguntas más frecuentes que nos hacen sobre los DSAR.
¿Se puede suprimir información de una respuesta DSAR?
Sí, puede (y a veces debe) suprimir información de una respuesta DSAR si no se aplica a la solicitud o si corre el riesgo de revelar información de otra persona o de terceros.
¿Qué problemas pueden surgir con los DSAR?
Puedes encontrarte con varios problemas con los DSAR, entre ellos:
- Dificultad para localizar toda la información personal si no ha auditado su recogida de datos.
- Verificar la identidad del solicitante, que es el primer paso para responder a un DSAR, y no debería implicar recopilar más datos de los que ya se tienen.
- Documentación DSAR, llevar un registro de auditoría en caso de reclamación o revisión externa.
- En cuanto a los plazos, es posible que la elaboración de los DSAR le lleve más tiempo del previsto. Implemente un proceso DSAR estandarizado para simplificar el proceso de respuesta.
¿Pueden los trabajadores presentar un DSAR a sus empresas?
Sí, los empleados actuales y antiguos pueden presentar DSAR a sus empleadores, pero si hay una razón legítima por la que no puede atender la solicitud, es posible negarse.
Resumen
Dependiendo de las leyes de privacidad de datos que afecten a su empresa, algunos usuarios tienen derecho a presentar solicitudes sobre cómo se recopila, procesa y utiliza su información personal.
Establecer un proceso para responder a los DSAR es esencial, ya que ayuda en todos los aspectos, desde el cumplimiento legal hasta la garantía de que puede encontrar todos los datos sobre el solicitante, pasando por la reducción al mínimo del tiempo de respuesta a los DSAR.
Facilite las cosas a su empresa accediendo al conjunto de soluciones de cumplimiento normativo deTermly y obtenga un completo formulario DSAR que podrá incrustar fácilmente en su sitio web.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
