¿Qué es una solicitud de acceso del interesado (DSAR)?

Una Solicitud de Acceso del Sujeto a los Datos (DSAR) es una forma de que las personas ejerzan sus derechos y sepan qué información tiene una organización sobre ellas y cómo la utiliza. 

El DSAR es el proceso para ejercer el derecho de acceso, unapiedra angular de la protección de datos en virtud del Reglamento General de Protección de Datos (RGPD ) y muchas otras leyes en todo el mundo.

Pero aunque los DSAR son una parte fundamental del cumplimiento de la protección de datos, también pueden suponer un gran reto para organizaciones de todos los tamaños. Su respuesta a los DSAR puede afectar a la reputación de su organización, y una mala gestión de los DSAR puede acarrear importantes problemas legales.

Este artículo explica cómo funcionan los DSAR, da ejemplos de cómo responder a los DSAR y ofrece algunos consejos para tramitar los DSAR de forma eficaz y conforme a la ley.

Cómo responder a una solicitud de acceso del interesado

Supongamos que un interesado se ha puesto en contacto y ha solicitado acceso a sus datos, ya sea a través del formulario DSAR de su Portal de Privacidad o por cualquier otro canal.

¿Qué pasos debe seguir ahora?

Paso 1: Acuse de recibo

El primer paso es responder al correo electrónico para acusar recibo de la solicitud.

Hola [Nombre],

Gracias por su solicitud: este mensaje es solo para confirmar que hemos recibido correctamente su solicitud. Hemos identificado esta solicitud como una Solicitud de Acceso del Sujeto de Datos y es nuestra obligación bajo el GDPR y la Ley de Protección de Datos de 2018 cumplir con ella.

En aras de la transparencia, nos gustaría informarle de cómo procedemos con estas solicitudes para que sepa en qué fase nos encontramos:

1. Verificar su identidad: tenemos que asegurarnos de que usted es la persona a la que solicita los datos.
2. Comprender el alcance de su solicitud
3. Recopilación de datos personales
4. Divulgarle esos datos (siempre que podamos hacerlo legalmente)
5. Responder a cualquier otra inquietud que pueda tener

Nuestro objetivo es resolver estas solicitudes en un plazo de 28 días a partir del momento en que verificamos su identidad.

Nota: Si no ha creado esta solicitud, háganoslo saber.

Paso 2: Verificar la identidad

Hola, estamos tramitando su solicitud de acceso a los datos - actualmente estamos en el paso 1.

Para este paso necesitamos verificar su identidad:

- Necesitamos pedirle si por favor podría {forma apropiada de identificar a la persona}

Le pedimos disculpas si los pasos anteriores le resultan incómodos, pero nos comprometemos a proteger los datos de las personas que nos los confían. Por eso, antes de facilitar información, debemos asegurarnos de que se la damos a la persona adecuada. Es un paso más para proteger los datos.

Ejemplo para verificar la identidad de una persona que: (permuta por "forma adecuada de identificar a una persona" más arriba)

He concertado una cita con usted:

- Responda a este correo electrónico confirmando que reconoce haber creado una solicitud
en la "Fecha" a la "Hora"
‍
- Indique su nombre y apellidos y la dirección de correo electrónico con la que desea
proceder a la solicitud
‍
- Ha mencionado que nos inscribió a una reunión - como medio adicional para
verificar la solicitud - ¿podría darme detalles sobre la fecha,
la hora y el método por el que reservó dicha reunión?

Contactado por uno de sus correos electrónicos de ventas/marketing

- Responda a este correo electrónico confirmando que reconoce haber creado una solicitud
en la "Fecha" a la "Hora"
‍
- Indique su nombre y apellidos y la dirección de correo electrónico con la que desea
proceder a la solicitud
‍
- Ha mencionado que recibió un correo electrónico nuestro - como medio adicional para
verificar la solicitud - ¿podría enviarnos el correo electrónico al que se refiere
?

Paso 3: Verificar el ámbito de aplicación

Una vez que sepa que la persona es realmente quien dice ser, el siguiente paso es comprender quién es el individuo en relación con su empresa y qué datos está buscando.

No está permitido pedirles que reduzcan el alcance de su solicitud, ya que cualquier persona puede pedir "todos sus datos", pero sí está bien pedirles que proporcionen detalles adicionales que le ayuden a localizar los datos que buscan.

Por ejemplo, fechas en las que podrían haber interactuado con su empresa, nombres del personal con el que han interactuado, si han asistido a alguno de sus eventos, si les ha gustado alguna de sus publicaciones o si han respondido a alguno de sus correos electrónicos anteriores.

Estas preguntas no prolongan el plazo de 28 días para responder a la solicitud, por lo que si no contestan o se le acaba el plazo tendrá que atender la solicitud haciendo búsquedas razonables de la información objeto de la solicitud.

Para ayudarle en este proceso puede ser útil pensar:

• ¿Qué tipo de persona son, tal como se describe en mi política de privacidad?
• Por ejemplo, ¿es un cliente, un visitante, un antiguo empleado temporal? Si no está seguro, pregúnteselo.
• Si mencionan a un tercero o a uno de sus socios o proveedores, puede ser una buena idea ponerse en contacto con ellos y pedirles información sobre dónde obtuvieron los datos. ¿Los han obtenido de usted? Si es así, ¿de dónde?
• Si mencionan a alguno de sus empleados, también puede ser una buena idea preguntarle sobre el compromiso.

Una vez que haya identificado qué tipo de individuo es, puede revisar su inventario de datos en su plataforma Privasee para identificar los activos o terceros donde podría estar almacenando sus datos y para qué se utilizan.

Paso 4: Recopilar información

El último paso consiste en revisar los activos sobre los que ha identificado que posee datos y recopilar la información que tiene sobre ellos.

Por ejemplo, puede tener su dirección de correo electrónico, su nombre y una lista de eventos a los que ha asistido en su CRM. Si es uno de tus clientes, puede que tengas información sobre pagos en tu software de contabilidad...

Dependiendo de su solicitud, pueden pedir confirmación/explicación de los tipos de datos que usted tiene sobre ellos, cómo recopiló esa información y para qué se utiliza; o pueden pedir una copia real de su información.

💡 Al proporcionar una copia de su información, especialmente cuando se trata de formato de texto libre como correos electrónicos o documentos. Es importante redactar cualquier información que pueda permitir identificar a cualquier otra persona para no compartir información personal de otra persona.

Paso 5: Divulgar los datos en un formato seguro

Es una buena práctica incluir una carta de presentación o material explicativo adjunto como parte de su respuesta DSAR. No hay que olvidar que el derecho de acceso no sólo abarca el suministro de información, sino que también incluye la confirmación de los detalles y la naturaleza del tratamiento, que puede incluirse en su carta de presentación.

Plantilla de respuesta a la solicitud de acceso del interesado

Estimado [Nombre],

Estamos procesando su Solicitud de Acceso de Sujeto de Datos - actualmente estamos en el Paso 5.Su solicitud ha sido considerada en línea con la Ley de Protección de Datos de 2018 y el Reglamento General de Protección de Datos, y los datos personales a los que tiene derecho se han incluido con esta carta. Adicional al suministro de sus datos personales, puedo confirmar que [Empresa] procesa sus datos personales y para más detalles en torno a los propósitos y el alcance de esto se puede encontrar dentro de nuestro Aviso de Privacidad [PROVEER ENLACE O COPIA DEL AVISO DE PRIVACIDAD].

Información relativa a terceros: En virtud del derecho de acceso, los interesados sólo tienen derecho a sus propios datos personales y no necesariamente a los relativos a terceros.

A la hora de facilitar la información, hemos tenido que considerar su derecho de acceso y sopesarlo con otros derechos de otras personas, como la protección de sus propios datos o su derecho a la intimidad. Información facilitada con carácter confidencial: A menudo habrá ocasiones en las que la información se facilite a la empresa con carácter confidencial y su divulgación socavaría ese deber de confidencialidad, lo que podría tener consecuencias jurídicas para la empresa. Además, es importante que se respeten dichas confidencias y que las personas puedan compartir asuntos con la empresa de forma confidencial sin temor a que se vulnere su confianza. Tenga la seguridad de que lo que podamos compartir con respecto a estas circunstancias se habrá compartido o anonimizado adecuadamente.

I hope that you find the enclosed information useful. [COMPANY] now consider your request fulfilled and the matter to be closed. Should you feel this is not the case, in the first instance please let me know. If you remain dissatisfied following this, please note that you have the right to raise the issue with the Information Commissioner’s Office (ICO), who can be contacted by the following methods - <https://ico.org.uk/global/contact-us/>. You also may wish to seek to enforce your rights through the Courts.If your concerns related to procedural matters rather than the provision of information, please can I politely suggest that such matters are taken up with the relevant departments or via our complaints processes.

Junto con la carta de presentación puede adjuntar un archivo con todos los datos personales de la persona, que puede ser un Excel o similar, un JSON, o un PDF con documentos, correos electrónicos u otros archivos potencialmente redactados.

Componentes clave de una solicitud de acceso del interesado

En términos generales, una DSAR da derecho al interesado a dos cosas:

1. Una copia de sus datos personales, y
2. Información sobre cómo procesa el responsable del tratamiento sus datos personales.

Por si no está familiarizado con algunos de esos términos:

• "Datos personales" : toda información relativa a una persona física identificable.
• "Tratar" datos personales significa recopilarlos, compartirlos o utilizarlos de cualquier otra forma,
• Un "interesado" es la persona a la que se refieren los datos personales.
• El "responsable del tratamiento" es la organización que ha decidido tratar los datos personales.

El artículo 15 del RGPD establece qué tipo de información debe facilitar una organización en respuesta a un DSAR, entre otras cosas:

• Una copia de los datos personales que procesas sobre ellos. Esto puede incluir muchos tipos de información, incluyendo: algún texto
  • Identificadores directos, como el nombre del interesado o su información de contacto
  • Identificaciones únicas, como un número de cliente, un nombre de usuario o un documento de identidad expedido por el gobierno.
  • Información sobre las características o el comportamiento de la persona, como datos sanitarios, demográficos o historial de navegación
  • Información técnica, como datos de cookies, segmentos de audiencia o identificadores de dispositivos y publicidad.

• Información sobre cómo tratas sus datos personales:algún texto
  • Finalidad del tratamiento de los datos
  • Tipos de datos personales que trata
  • Los destinatarios con los que haya compartido los datos
  • Cuánto tiempo conservará los datos
  • Derechos del interesado en virtud del RGPD
  • Derecho del interesado a presentar una reclamación ante una autoridad de protección de datos
  • Dónde obtuvo los datos
  • Información sobre la "toma de decisiones automatizada" con arreglo al artículo 22 del RGPD (si procede)
  • Información sobre "transferencias internacionales de datos" (si procede)

No es necesario que facilite toda esta información siempre, pero si el interesado solicita algo de esta lista, debe proporcionársela a menos que se aplique una excepción.

Cuándo y por qué presentar un DSAR

El considerando 63 del RGPD dice que los DSAR permiten al interesado "conocer y verificar la licitud del tratamiento". En otras palabras, el objetivo de un DSAR es que el interesado compruebe si el responsable del tratamiento está haciendo algo ilegal con sus datos personales.

Pero, ¿es "verificar la licitud del tratamiento" la única razón válida para presentar un DSAR? Esta cuestión fue resuelta por el Tribunal de Justicia de la Unión Europea (TJUE) en octubre de 2023 en un asunto llamado FT contra DW.

El demandante, FT, presentó un DSAR a su dentista, DW, sospechando que un mal trabajo dental le había dañado los dientes. DW dijo que este DSAR no era válido porque creía que FT estaba reuniendo pruebas para una demanda, no verificando la legalidad del tratamiento de datos, como se especifica en el considerando 63.

El tribunal dio la razón al paciente. La sentencia explica que el GDPR no limita las razones para presentar una DSAR. De hecho, el GDPR "no exige que el interesado motive su solicitud". 

Una persona puede presentar un DSAR en cualquier momento, y hay muchas razones posibles para hacerlo, entre ellas:

• Saber qué datos personales ha recogido sobre ellos un responsable del tratamiento
• Garantizar la exactitud de los datos personales
• Averiguar de dónde obtuvo los datos personales el responsable del tratamiento

Sin embargo, también hay razones válidas para que un controlador se niegue a cumplir con una DSAR, como explicaremos a continuación.

Buenas prácticas para gestionar eficazmente los DSAR

He aquí algunos consejos para ayudar a su organización a hacer bien los DSAR:

• Aplique estrategias de gobernanza de datos para mantener los datos personales bien organizados y accesibles.
• Proporcione un formulario normalizado o un portal web para presentar los DSAR (pero recuerde que no puede obligar al interesado a utilizarlo).
• Impartir formación periódica sobre protección de datos para ayudar a los empleados a reconocer y facilitar los DSAR.
• Desarrollar una política clara y documentada para gestionar los DSAR.
• Considere la posibilidad de utilizar programas informáticos especializados que le ayuden a seguir y tramitar las solicitudes de DSAR.
• Verifique la identidad del interesado si tiene dudas razonables sobre su identidad, pero no le pida demasiados datos personales para verificarla.
• Mantenga informados a los interesados durante todo el proceso y responda dentro de los plazos obligatorios.
• Utilizar una plataforma segura de intercambio de archivos para proporcionar los datos personales solicitados, cuando proceda.

¿Hay excepciones al DSAR?

Una empresa puede restringir el acceso a los derechos de los interesados, incluidos los DSAR, cuando sea necesario para salvaguardarlos:

• Delincuencia y fiscalidad
• Evaluación de riesgos penales y fiscales
• Información que debe divulgarse por ley o en el marco de un procedimiento judicial
• Secreto profesional
• Autoinculpación
• Divulgación prohibida o restringida por una ley
• Inmigración
• Funciones destinadas a proteger al público
• Funciones de auditoría
• Funciones del Banco de Inglaterra
• Funciones reguladoras de los servicios jurídicos, sanitarios e infantiles
• Otras funciones reguladoras
• Privilegio parlamentario
• Nombramientos, independencia y procedimientos judiciales
• Honores, dignidades y nombramientos de la Corona
• Periodismo, academia, arte y literatura
• Investigación y estadísticas
• Archivo de interés público
• Datos sanitarios
• Datos de trabajo social
• Datos sobre educación
• Datos sobre maltrato infantil
• Finanzas corporativas
• Previsiones de gestión
• Negociaciones
• Referencias confidenciales
• Guiones y notas de examen

¿Puedo rechazar alguna vez un DSAR?

Puede negarse a acceder a una solicitud manifiestamente infundada o excesiva. La decisión debe tomarse caso por caso y los motivos deben estar claramente documentados por si fuera necesario demostrarlos ante la OIC o los tribunales. Ejemplos de solicitudes de la OIC que pueden ser manifiestamente infundadas son:

• Es evidente que la persona no tiene intención de ejercer su derecho de acceso. Por ejemplo, una persona presenta una solicitud, pero luego se ofrece a retirarla a cambio de algún tipo de beneficio por parte de la organización.
• El individuo ha declarado explícitamente, en la propia solicitud o en otras comunicaciones, que pretende causar perturbaciones
• La solicitud contiene acusaciones infundadas contra usted o contra determinados empleados.
• El individuo se dirige a un empleado en particular contra el que tiene algún rencor personal
• El individuo le envía sistemáticamente diferentes solicitudes como parte de una campaña, por ejemplo, una vez a la semana, con la intención de causar molestias.

Principales conclusiones

En este artículo hemos tratado los siguientes puntos clave sobre las solicitudes de acceso de los interesados (DSAR):

• Un DSAR permite a los individuos acceder a los datos personales que su organización tiene sobre ellos, promoviendo la transparencia bajo el GDPR.
• Responder a un DSAR implica cinco pasos clave: acusar recibo, verificar la identidad, comprender el alcance, recopilar los datos y divulgarlos de forma segura.
• Las organizaciones deben responder a los DSAR en un plazo de 28-30 días, equilibrando los derechos de la persona con cualquier exención legal aplicable.

Privasee puede ayudarle a agilizar la gestión de su DSAR - reserve una demostración hoy mismo.

Solicitud de acceso del interesado - Preguntas frecuentes

¿Qué es una solicitud de acceso del interesado (DSAR)?

Una DSAR es una solicitud presentada por una persona para acceder a los datos personales que una organización tiene sobre ella.

¿De cuánto tiempo dispongo para responder a un DSAR?

Las organizaciones disponen de 28-30 días para responder una vez verificada la identidad de la persona.

¿Puedo rechazar un DSAR?

Sí, puede denegar una solicitud si es manifiestamente infundada, excesiva o entra dentro de las exenciones legales específicas. En estos casos es esencial una documentación adecuada.

¿Qué pasos hay que dar para cumplimentar un DSAR?

El proceso implica el acuse de recibo de la solicitud, la verificación de la identidad de la persona, la comprensión del alcance de la solicitud, la recopilación de los datos pertinentes y el suministro seguro de la información solicitada. Según la legislación de protección de datos, como el GDPR, las organizaciones deben facilitar esta información en un plazo determinado, normalmente 30 días. Las DSAR ayudan a garantizar la transparencia y el control individual sobre los datos personales.