En virtud del Reglamento General de Protección de Datos (rgpd), las empresas son responsables de recibir y responder a las solicitudes de los particulares para hacer valer sus derechos de privacidad, también denominadas solicitudes de acceso de los interesados (DSAR).
Su empresa debe establecer un procedimiento interno formal para que su equipo gestione los DSAR de los interesados de rgpd de forma oportuna y conforme a la ley.
En esta guía, le facilito los requisitos de los DSAR en rgpd y le indico los pasos que puede seguir su empresa para simplificar y agilizar el proceso de respuesta.
rgpdDefinición de las solicitudes de acceso del interesado (DSAR)
De conformidad con el artículo 15 de la rgpd, se habla de DSAR cuando una persona protegida (también conocida como el interesado) presenta una solicitud de acceso a los datos personales que una empresa ha recopilado sobre ella.
Es posible que también las conozca como solicitudes de acceso del sujeto o SAR.
La "A"de "DSAR " significa "Acceso".
No obstante, los particulares pueden presentar DSAR para hacer valer cualquiera de los derechos a la intimidad que les otorga la rgpd.
Pueden presentar sus solicitudes por cualquier medio, incluido el correo electrónico, el teléfono o las redes sociales.
Pero si el interesado presenta la solicitud por medios electrónicos, a menos que solicite otra cosa, la información se facilitará en un formato electrónico de uso común.
Es útil proporcionar un formulario DSAR debidamente titulado en su sitio web, que filtrará la mayoría de las solicitudes de sus usuarios en un único canal y hará que el proceso sea más eficiente.
Sin embargo, es necesario comprobar si hay DSAR en otras vías de comunicación por si un consumidor envía su solicitud a otro lugar.
¿Qué derechos concede a los interesados la web rgpd ?
rgpd describe los derechos del interesado en el capítulo 3, artículos 12 a 23, entre los que se incluyen los siguientes:
- Acceder a los datos personales(artículo 15);
- Rectificación de datos personales(artículo 16);
- Supresión/derecho al olvido(artículo 17);
- Restringir el tratamiento de datos(artículo 18);
- Portabilidad de los datos(artículo 20);
- Oponerse al tratamiento de datos(artículo 21);
- Oposición a la toma de decisiones individuales y a la elaboración de perfiles(artículo 22).
Debe estar preparado para responder a los DSAR por cualquiera de estos derechos en el momento oportuno, siguiendo todas las normas y principios señalados por el Reglamento.
Cómo navegar por rgpd y los DSAR: Paso a paso
Para simplificar la tramitación de un DSAR de un interesado en rgpd , le recomiendo que siga estos cinco sencillos pasos.
Paso 1: Requisitos de verificación
Tras recibir una DSAR de un interesado de rgpd , el primer paso es acusar recibo y confirmar la recepción de la solicitud a la persona que la ha presentado y asegurarse de que puede verificar adecuadamente su identidad.
La verificación de la identidad es necesaria porque, legalmente, no se puede facilitar información sobre otra persona a un individuo no autorizado.
Según el considerando 64 de rgpd, usted puede decidir cómo verificar la identidad de un usuario, pero debe utilizar todas las "medidas razonables" en el contexto de los servicios en línea y los identificadores en línea.
Pero no puede conservar datos personales con el único fin de verificar las solicitudes de los consumidores a efectos de la DSAR, y no debe pedir información adicional.
Debes encontrar la manera de verificar su identidad utilizando los datos que ya has recopilado de ellos y no pedirles más detalles, especialmente datos personales sensibles.
Por ejemplo, si sólo ha recogido el nombre y la dirección de correo electrónico de un interesado, no le pida una copia de su DNI o contraseña sólo para legitimarlo.
Las empresas suelen verificar la identidad de los sujetos de rgpd que presentan DSAR:
- Hacer preguntas basadas en los datos que ya se tienen sobre ellos;
- Utilizando un método de validación previamente confirmado, como una dirección de correo electrónico;
- Determinar las últimas formas en que el usuario interactuó con su sitio, producto o servicio.
Una vez que sepa que el interesado es quien dice ser, puede pasar al siguiente paso.
Paso 2: Información que debe incluirse en la respuesta
A continuación, su empresa debe establecer un proceso para localizar y recopilar de forma segura los datos del consumidor cuando responda a un DSAR.
Asegúrese de abordar todos los aspectos de su solicitud; por ejemplo, puede que quiera acceder a sus datos y corregir un error ortográfico en su apellido.
Para simplificar este paso, considere la posibilidad de realizar una auditoría de datos para localizar todos los datos personales que su empresa recopila y almacena.
Tenga en cuenta estas directrices por motivos legales y para evitar posibles violaciones de datos:
- Limitar quién responde a los DSAR y quién tiene acceso a los datos personales;
- Sepa dónde se almacenan todos los datos personales, tanto digital como físicamente;
- Asegúrese de localizar e incluir todos los datos solicitados por el usuario;
- No almacene datos personales más tiempo del necesario;
- Pero guarde un registro de sus respuestas DSAR en caso de una futura auditoría.
En algunos casos, puede que también tenga que censurar partes de la información que va a revelar al responder a una solicitud.
Por ejemplo, puede hacerlo para proteger los datos de otra persona que no sea el solicitante. Solo puedes revelar datos personales de otra persona si tienes su consentimiento.
Paso 3: Calendario de respuesta
Según rgpd, dispone de un mes para responder a un DSAR, que puede prorrogarse otros dos meses si:
- La solicitud es compleja y necesita tiempo para investigar;
- Recibe múltiples solicitudes y sus recursos son limitados;
- La solicitud no está clara y necesita más información.
En el artículo 12, sección 3, de rgpd se establece este plazo específico para responder a los DSAR.
Asegúrese de que las personas de su equipo responsables de responder a los DSAR son conscientes de estas limitaciones de tiempo.
Igualmente importante es que no espere hasta el último día para dar la respuesta. Debe responder lo antes posible dentro del plazo de un mes.
Como se ha mencionado anteriormente, es de vital importancia enviar una respuesta en la que se confirme que se ha recibido la solicitud del interesado y que se está trabajando en la respuesta; esto ayuda a cumplir los requisitos establecidos por rgpd y tranquiliza al consumidor.
Paso 4: Negarse a responder
rgpd le permite negarse a responder a una DSAR en unas pocas circunstancias y debe establecer un proceso para determinar cuándo una solicitud entra dentro de estos límites.
Por ejemplo, si la solicitud es irrazonable, excesiva, manifiestamente infundada o vulnera el derecho a la intimidad de otra persona, puede denegarla.
Usted debe informar sin demora al solicitante de su elección, y es responsable de demostrar que la solicitud era infundada en caso de que una autoridad de control le cuestione o el interesado inicie una reclamación contra usted ante un tribunal nacional.
Los interesados pueden presentar un recurso contra su decisión basándose en su DSAR, así que asegúrese de que dispone de un proceso similar que resulte igual de sencillo para los consumidores.
Paso 5: Lleve un registro de sus respuestas
Por último, asegúrese de que lleva un registro de todas sus respuestas al DSAR por si una autoridad de control le audita o, como ya se ha mencionado, el interesado lleva el caso ante un tribunal.
No obstante, no debe conservar este registro durante un periodo de tiempo indefinido. Un periodo de entre 12 y 24 meses puede considerarse razonable.
Asegúrate de almacenar esta información en un entorno seguro para que esté a salvo de filtraciones de datos y accesos no autorizados.
Utilización de Termly para los requisitos DSAR de rgpd
Si su empresa necesita cumplir la normativa rgpd, la plataforma gestión del consentimiento deTermly le ofrece un formulario DSAR gratuito que puede incorporar directamente a su sitio web.
El formulario DSAR permite a los usuarios introducir datos esenciales para agilizar el proceso de respuesta:
- Por qué ley de protección de la intimidad están protegidos;
- Qué derecho(s) quieren seguir;
- Qué dirección de correo electrónico utilizan habitualmente para ponerse en contacto con su sitio web.
El formulario anima a los usuarios a facilitarle información suficiente para que usted pueda verificar su identidad a través de rgpd y responder en el plazo de un mes.
Resumen
Responder a los DSAR forma parte del curso para las empresas en virtud de la rgpd, pero navegar por los requisitos es mucho más fácil si su empresa pone en marcha un proceso interno formal de DSAR.
Asegúrese de que su equipo sabe cómo verificar la identidad de los interesados que presentan DSAR sin incumplir las normas y principios del Reglamento, y responda a las DSAR dentro del plazo de un mes.
Póngaselo muy fácil a su empresa y a los consumidores ofreciéndoles un formulario DSAR accesible en su sitio web.
Más sobre el autor
Escrito por Teodor Stanciu, CIPP/E, CIPM
Teo es un especialista en privacidad de datos y experimentado responsable de protección de datos (RPD) al que le apasiona ayudar a las empresas a cumplir sus obligaciones en materia de protección de datos. Cuenta con una experiencia de más de siete años como RPD para una organización internacional activa en 50 países y con sede en Bruselas (Bélgica). Teo es Certified Information Privacy Professional/Europe (CIPP/E) y Certified Information Privacy Manager (CIPM) por la International Association of Privacy Professionals (IAPP).
Más sobre el autor
