Comprender las solicitudes de acceso de los interesados (DSAR)

Una Solicitud de Acceso del Sujeto a los Datos (DSAR) es una forma de que las personas ejerzan sus derechos y sepan qué información tiene una organización sobre ellas y cómo la utiliza. 

El DSAR es el proceso para ejercer el derecho de acceso, unapiedra angular de la protección de datos en virtud del Reglamento General de Protección de Datos (RGPD ) y muchas otras leyes en todo el mundo.

Pero aunque los DSAR son una parte fundamental del cumplimiento de la protección de datos, también pueden suponer un gran reto para organizaciones de todos los tamaños. Su respuesta a los DSAR puede afectar a la reputación de su organización, y una mala gestión de los DSAR puede acarrear importantes problemas legales.

Este artículo explica cómo funcionan los DSAR, da ejemplos de cómo responder a los DSAR y ofrece algunos consejos para tramitar los DSAR de forma eficaz y conforme a la ley.

¿Qué es una solicitud de acceso del interesado (DSAR)?

Un DSAR permite a los ciudadanos saber qué datos personales tiene una organización sobre ellos, por qué los tiene, de dónde los ha sacado y con quién los comparte, entre otras cosas. Los DSAR ayudan a defender los derechos de las personas a la protección de sus datos y su intimidad aumentando la transparencia y la rendición de cuentas.

Si tiene previsto recopilar o utilizar datos personales, debe tener siempre presente que las personas tienen derecho a saber exactamente qué datos ha recopilado y para qué los utiliza.

Un DSAR mal gestionado puede causar graves problemas. Los DSAR mal gestionados figuran sistemáticamente entre los temas más comunes de las reclamaciones relacionadas con el RGPD y pueden provocar daños a la reputación, multas e incluso demandas judiciales.

Pero un DSAR correcto puede ayudar a su empresa a generar confianza entre sus clientes. Si ha incorporado buenas prácticas de protección de datos, un DSAR es una oportunidad para demostrar a sus clientes que respeta sus derechos y que cuida bien de sus datos.

Componentes clave de una solicitud de acceso del interesado

En términos generales, una DSAR da derecho al interesado a dos cosas:

1. Una copia de sus datos personales, y
2. Información sobre cómo procesa el responsable del tratamiento sus datos personales.

Por si no está familiarizado con algunos de esos términos:

• "Datos personales" : toda información relativa a una persona física identificable.
• "Tratar" datos personales significa recopilarlos, compartirlos o utilizarlos de cualquier otra forma,
• Un "interesado" es la persona a la que se refieren los datos personales.
• El "responsable del tratamiento" es la organización que ha decidido tratar los datos personales.

El artículo 15 del RGPD establece qué tipo de información debe facilitar una organización en respuesta a un DSAR, entre otras cosas:

• Una copia de los datos personales que procesas sobre ellos. Esto puede incluir muchos tipos de información, incluyendo: algún texto
  • Identificadores directos, como el nombre del interesado o su información de contacto
  • Identificaciones únicas, como un número de cliente, un nombre de usuario o un documento de identidad expedido por el gobierno.
  • Información sobre las características o el comportamiento de la persona, como datos sanitarios, demográficos o historial de navegación
  • Información técnica, como datos de cookies, segmentos de audiencia o identificadores de dispositivos y publicidad.

• Información sobre cómo tratas sus datos personales:algún texto
  • Finalidad del tratamiento de los datos
  • Tipos de datos personales que trata
  • Los destinatarios con los que haya compartido los datos
  • Cuánto tiempo conservará los datos
  • Derechos del interesado en virtud del RGPD
  • Derecho del interesado a presentar una reclamación ante una autoridad de protección de datos
  • Dónde obtuvo los datos
  • Información sobre la "toma de decisiones automatizada" con arreglo al artículo 22 del RGPD (si procede)
  • Información sobre "transferencias internacionales de datos" (si procede)

No es necesario que facilite toda esta información siempre, pero si el interesado solicita algo de esta lista, debe proporcionársela a menos que se aplique una excepción.

Ejemplo: DSAR presentado a una startup de aplicaciones móviles

MuscleTrack, una startup de aplicaciones de fitness, recibe un correo electrónico de Anna, una de las usuarias de la aplicación.

El correo electrónico llega al departamento de ventas de MuscleTrack y dice así: "Hola, he leído una noticia sobre rastreadores de fitness que venden los datos de salud de la gente. Por favor, proporcionar una copia de todos los datos recogidos por FitTrack y dígame con quién ha compartido los datos con". Anna también proporciona su nombre de usuario.

Aunque el correo electrónico no menciona el GDPR, el representante de ventas de MuscleTrack reconoce el correo electrónico como un DSAR y lo reenvía al departamento jurídico de la empresa. Aunque MuscleTrack dispone de un portal específico de solicitud de DSAR dentro de la aplicación, el equipo jurídico acepta el DSAR por correo electrónico.

El DSAR procede de una dirección de correo electrónico asociada a la cuenta de Anna e incluye su nombre de usuario, por lo que el departamento jurídico confía en que la solicitud no sea fraudulenta. 

El departamento jurídico responde a Anna, reconociendo el alcance de su solicitud y proporcionándole un plazo para satisfacer su DSAR.

El departamento jurídico abre un nuevo caso en un rastreador DSAR interno para ayudar a seguir la solicitud de Anna. Se ponen en contacto con colegas de otros departamentos pertinentes para recopilar los datos personales. Una vez recopilados los datos, el departamento jurídico los revisa y elimina cualquier referencia a otros interesados.

Los datos personales se cargan en una plataforma segura de intercambio de archivos. El departamento jurídico envía a Anna un enlace restringido a la plataforma para que pueda acceder a sus datos personales. Actualizan el rastreador DSAR interno de MuscleTrack y cierran el caso un mes después del último contacto con el interesado.

Cuándo y por qué presentar un DSAR

El considerando 63 del RGPD dice que los DSAR permiten al interesado "conocer y verificar la licitud del tratamiento". En otras palabras, el objetivo de un DSAR es que el interesado compruebe si el responsable del tratamiento está haciendo algo ilegal con sus datos personales.

Pero, ¿es "verificar la licitud del tratamiento" la única razón válida para presentar un DSAR? Esta cuestión fue resuelta por el Tribunal de Justicia de la Unión Europea (TJUE) en octubre de 2023 en un asunto llamado FT contra DW.

El demandante, FT, presentó un DSAR a su dentista, DW, sospechando que un mal trabajo dental le había dañado los dientes. DW dijo que este DSAR no era válido porque creía que FT estaba reuniendo pruebas para una demanda, no verificando la legalidad del tratamiento de datos, como se especifica en el considerando 63.

El tribunal dio la razón al paciente. La sentencia explica que el GDPR no limita las razones para presentar una DSAR. De hecho, el GDPR "no exige que el interesado motive su solicitud". 

Una persona puede presentar un DSAR en cualquier momento, y hay muchas razones posibles para hacerlo, entre ellas:

• Saber qué datos personales ha recogido sobre ellos un responsable del tratamiento
• Garantizar la exactitud de los datos personales
• Averiguar de dónde obtuvo los datos personales el responsable del tratamiento

Sin embargo, también hay razones válidas para que un controlador se niegue a cumplir con una DSAR, como explicaremos a continuación.

Guía paso a paso para presentar un DSAR

Consideremos ahora el proceso DSAR desde la perspectiva del interesado. 

El RGPD exige muy poco al interesado durante el proceso de DSAR. 

• No hay límite de tiempo para presentar una solicitud.
• Prácticamente todos los datos personales entran en el ámbito de aplicación. El responsable del tratamiento debe facilitar todos los datos que se le soliciten, con algunas excepciones.
• El interesado puede presentar un DSAR prácticamente por cualquier medio, ya sea cara a cara o por correo electrónico, redes sociales, correo postal o teléfono. El responsable del tratamiento puede facilitar un formulario DSAR, pero no puede obligar a los interesados a utilizarlo.

He aquí algunas formas en que los interesados pueden ayudar a los responsables del tratamiento a facilitar con éxito los datos personales solicitados:

• Sea lo más específico posible. A un controlador le resultará mucho más fácil gestionar una solicitud del tipo "Por favor, facilítenme una copia de los mensajes directos enviados desde mi cuenta el 18 de enero de 2025" que "Por favor, facilítenme todos mis datos personales". Aunque es probable que esta última petición sea válida, podría tardar mucho más en cumplirse.
• Esté preparado para proporcionar una identificación. Los responsables del tratamiento deben estar seguros de que están facilitando datos personales a la persona adecuada. Aunque el responsable del tratamiento debe tratar de verificar a un interesado basándose en los datos personales que ya posee, a veces es necesaria una verificación de identidad adicional.
• Sea educado. Tramitar un DSAR puede ser difícil. Los controladores pueden rechazar solicitudes en determinadas condiciones. Ser cortés y cooperativo puede contribuir a que la solicitud se tramite con éxito.

Cómo deben responder las organizaciones a un DSAR

Veamos ahora cada etapa del proceso DSAR desde la perspectiva del controlador.

Reconocer un DSAR

Pocas personas saben lo que es una DSAR o entienden sus derechos en virtud del RGPD. Como tal, el interesado no necesita utilizar términos como "DSAR", "acceso", o incluso "datos personales" al hacer una DSAR.

Como se ha señalado, los DSAR pueden llegar a través de cualquier medio de comunicación, por lo que cualquiera de sus empleados podría recibir uno. Esta es una de las razones por las que la concienciación y la formación en materia de protección de datos son importantes para todas las organizaciones.

Si entiende que el interesado quiere acceder a sus datos personales, debe tratar la solicitud como una DSAR. Si la solicitud no está clara, puede pedir al interesado que la aclare. Pero no desestime una solicitud porque el interesado no utilice el lenguaje "correcto".

Verificación de la identidad del interesado

El RGPD dice que si tiene "dudas razonables", puede solicitar información adicional para verificar la identidad del interesado. Esta parte del proceso DSAR puede ser sorprendentemente complicada.

Si no se verifica la identidad del interesado, se corre el riesgo de exponer a las personas a la usurpación de identidad. Pero recopilar datos innecesarios para la verificación viola el principio de "minimización de datos" del RGPD y puede disuadir a las personas de ejercer sus derechos.

En 2022, una empresa neerlandesa fue multada con 525.000 euros por exigir a los interesados que presentaran documentos de identidad expedidos por el gobierno para acceder a datos de riesgo relativamente bajo, como nombres y direcciones de correo electrónico.

Por otra parte, el regulador español multó una vez a un banco con 25.000 euros por cometer el error contrario:entregar datos personales a la persona equivocada tras no verificar la identidad del interesado.

Aquí tienes algunos consejos sobre la verificación DSAR que te ayudarán a conseguir el equilibrio adecuado:

• Considere los riesgos potenciales de facilitar los datos personales pertinentes a la persona equivocada. Cuanto más sensibles sean los datos personales solicitados, más riguroso debe ser el proceso de verificación.
• Recuerde que sólo debe solicitar datos personales adicionales para su verificación si es "necesario" y si tiene "dudas razonables" sobre la identidad del interesado.
• Es posible que pueda verificar la identidad del interesado mediante datos personales de los que ya dispone su empresa. Como parte del proceso de verificación, podría pedir al interesado que:algún texto
  • Utilizar un formulario web o un portal al que sólo se pueda acceder a través de su cuenta,
  • Enviar su DSAR a través de una dirección de correo electrónico asociada a su cuenta, o bien
  • Confirme los detalles de sus compras recientes con su empresa u otra actividad de la cuenta.

Revisión de la solicitud

Una vez que haya recibido un DSAR y verificado la identidad del interesado (si es necesario), debe asegurarse de que comprende qué datos personales busca el interesado.

Si la solicitud no está clara, puede pedir al interesado que la aclare. Si la solicitud devolviera un volumen muy grande de datos personales, puede pedir al interesado que acote la solicitud, por ejemplo limitando la DSAR a un periodo o tipo de datos personales concretos.

Sin embargo, como señala la Oficina del Comisario de Información del Reino Unido (ICO): 

"...no se puede obligar a una persona a limitar el alcance de su solicitudya que sigue teniendo derecho a solicitar "toda la información que obre en su poder" sobre él. Si un particular le responde y repite su solicitud o se niega a facilitar información adicional, usted debe atender su solicitud realizando búsquedas razonables de la información."

Por tanto, no debe presionar al interesado para que limite su solicitud. El derecho de acceso es amplio y, en teoría, da derecho al interesado a acceder a todos los datos personales que trate sobre él.

Recopilación de datos personales

Recopilar los datos personales necesarios para cumplir un DSAR puede llevar minutos o meses, dependiendo de la complejidad de la solicitud y de la cantidad de datos personales.

He aquí algunos ejemplos de DSAR difíciles que probablemente sean válidos, perocuya finalización podría requerir muchos recursos:

• Un antiguo empleado solicita copias de todos los correos electrónicos, mensajes de chat y documentos en los que se mencione su nombre.
• Una persona vulnerable solicita toda la información registrada sobre ella a múltiples servicios públicos, parte de la cual está archivada en ficheros en papel.
• El solicitante de un préstamo fallido solicita todos los datos personales que contribuyeron a la decisión del préstamo, además de información sobre la lógica implicada en el algoritmo de calificación crediticia.

Cuando recopile datos personales para un DSAR, recuerde que la definición de "datos personales" es muy amplia. Incluye cualquier cosa que le permita identificar al interesado (incluso cuando se combina con otros datos personales a los que tenga acceso su organización).

Unas prácticas sólidas de gobernanza de datos son una base sólida para facilitar las DSAR. La recuperación de datos personales es mucho más fácil si los datos de su organización están bien organizados y son accesibles, limita el número de aplicaciones de software utilizadas por sus empleados y desincentiva el uso de dispositivos personales.

Un DSAR puede implicar a muchos equipos y departamentos diferentes de su organización. Si su organización recibe DSAR con regularidad, debe implantar un proceso de comunicación y cooperación entre departamentos.

El software empresarial especializado puede ayudar a realizar un seguimiento y gestionar el proceso DSAR mediante la integración con aplicaciones populares de correo electrónico, mensajería instantánea y almacenamiento en la nube para ayudar a recuperar datos personales.

Eliminar datos sobre otras personas

Uno de los aspectos que más tiempo lleva a la hora de responder a un DSAR es la eliminación de datos personales sobre personas distintas del solicitante.

El artículo 15 (4) establece que los responsables del tratamiento no deben "atentar contra los derechos y libertades de terceros" al responder a una DSAR. Esto sugiere que, en general, la respuesta no debe incluir datos personales de otras personas.

Por ejemplo, si el interesado ha solicitado copias de correos electrónicos que incluyen nombres o datos personales de otras personas , debe redactar los correos para que sólo contengan datos personales del solicitante.

Este asunto se aborda con más detalle en las leyes nacionales de algunos países. Por ejemplo, la Ley de Protección de Datos del Reino Unido de 2018 establece que solo se pueden revelar datos personales de otra persona en respuesta a un DSAR si:

• La otra persona ha dado su consentimiento a la divulgación; o
• Es razonable atender la solicitud sin el consentimiento de esa persona.

Lo más seguro suele ser suprimir los datos personales de terceros mediante un método de supresión seguro y no reversible.

Entrega de los datos personales

El RGPD no establece muchas normas firmes sobre cómo entregar datos personales al cumplimentar un DSAR.

El apartado 1 del artículo 12 establece que los responsables del tratamiento deben facilitar los datos personales solicitados: 

• "Por escrito", 
• Por "medios electrónicos", en su caso, o 
• "Oralmente", a petición del interesado, si ha verificado su identidad "por otros medios".

El considerando 63 dice que "siempre que sea posible", el responsable del tratamiento debe entregar los datos personales dando al interesado "acceso remoto a un sistema seguro". Por tanto, considere la posibilidad de entregar los datos personales a través de una plataforma de intercambio de archivos cifrada.

Si tiene que facilitar los datos personales solicitados por correo electrónico, considere la posibilidad de utilizar archivos adjuntos protegidos con contraseña y enviar la contraseña por correo electrónico aparte.

Cumplir o ampliar el plazo

He aquí los principios generales en torno a los plazos para cumplir un DSAR:

• Debe cumplimentar un DSAR "sin demora indebida y, en cualquier caso, en el plazo de un mes a partir de su recepción".
• Puede ampliar el plazo otros dos meses si es necesario, en función de "la complejidad y el número de las solicitudes".
• Si ha decidido ampliar el plazo, debe comunicárselo al interesado en el plazo inicial de un mes.

Es una buena práctica acusar recibo del DSAR en cuanto lo reciba.

Si necesita aclarar la solicitud o verificar la identidad del interesado, algunos reguladores dicen que puede "parar el reloj" hasta que se complete este proceso. Sin embargo, este consejo varía de un país a otro, por lo que le recomendamos que consulte a su APD local.

No cumplimentar los DSAR a tiempo puede tener consecuencias. En diciembre de 2022, la empresa sueca de cobro de deudas Alektum Oy fue multada con 750.000 euros por entregar repetidamente los DSAR con retraso o ignorarlos por completo.

Denegación de un DSAR o cobro de una tasa

Si un DSAR es "manifiestamente infundado o excesivo", puede:

• Negarse a afrontarlo, o
• Cobrar una tasa para cubrir los gastos administrativos.

El RGPD no ofrece muchos detalles sobre lo que constituye una "DSAR manifiestamente infundada o excesiva", salvo para decir que incluye las solicitudes "repetitivas". 

La Comisión Irlandesa de Protección de Datos (CPD) ofrece la siguiente interpretación:

• "Manifiestamente infundada" significa que "la solicitud no se refiere en absoluto a datos personales... o, aunque se refiera a datos personales, es obvio que usted no los trata".
• "Excesiva" significa que la petición es repetitiva o va más allá de lo que es "razonable en términos de tiempo y dinero, teniendo en cuenta las circunstancias del caso".

La ICO británica sugiere que los responsables del tratamiento pueden considerar la denegación de una DSAR si el interesado "declara explícitamente" que la solicitud pretende causar trastornos o si el interesado "se dirige a un empleado concreto contra el que guarda rencor personal". Pero la carga de la prueba recae en el responsable del tratamiento.

Si decide denegar o cobrar por una solicitud, debe notificárselo al interesado en el plazo inicial de un mes. 

El listón para rechazar un DSAR es alto, y un rechazo podría hacer que el interesado se quejara a su regulador. Por ello, suele ser más fácil cumplir el DSAR que negarse a actuar en consecuencia.

Preguntas frecuentes sobre los DSAR

¿Cuáles son las sanciones por no responder a un DSAR?

Las infracciones que impliquen DSAR pueden sancionarse a través del nivel más alto de sanciones del GDPR, a saber:

• Hasta 20 millones de euros, o
• Hasta el 4 % del volumen de negocios total anual a escala mundial del ejercicio anterior

Los reguladores disponen de otras sanciones, desde amonestaciones hasta la orden de que el responsable del tratamiento deje de tratar datos personales.

¿Qué normas se aplican a otros tipos de solicitudes relacionadas con el RGPD?

Además de presentar un DSAR en virtud del derecho de acceso, las personas pueden ejercer otros derechos sobre sus datos personales en virtud del GDPR y otras leyes de protección de datos. Por ejemplo:

• Derecho de supresión: Las personas pueden solicitar que borres sus datos personales en determinadas condiciones, por ejemplo, si ya no los necesitas para su propósito original o si los has estado procesando ilegalmente.
• Derecho de rectificación: Las personas pueden solicitar que se corrijan datos personales inexactos sobre ellas, que se actualicen datos personales obsoletos o que se completen datos personales incompletos.
• Derecho a la portabilidad de los datos: Las personas pueden solicitar una copia portátil y "legible por máquina" de sus datos personales, así como solicitar su transferencia a otro responsable del tratamiento.

El mismo planteamiento básico, los mismos plazos y las mismas excepciones se aplican a la tramitación de solicitudes en virtud de estos otros derechos: Necesitarás una base sólida de buen gobierno de los datos, concienciación de los empleados y comunicación transparente.

¿Puede presentar un DSAR otra persona en nombre de un particular?

Sí, el RGPD no prohíbe que el interesado haga que otra persona, como uno de sus padres, un cuidador o un abogado, presente su DSAR. Sin embargo, el responsable del tratamiento debe estar seguro de que el interesado lo ha solicitado y debe documentar su evaluación de la identidad del tercero.

Para demostrar que actúa en nombre del interesado, el tercero puede presentar una carta firmada por el interesado, aportar pruebas de que tiene un poder notarial o demostrar que es el padre o tutor del interesado, según las circunstancias.

¿Qué debe incluir una respuesta DSAR?

Una respuesta DSAR debe incluir los datos personales u otra información solicitada por el interesado. Es una buena práctica incluir una descripción general de la solicitud, incluidas las fechas en las que el interesado se puso en contacto con su organización y un resumen de cualquier comunicación con el interesado.

¿Con qué frecuencia pueden los particulares presentar DSAR?

No hay límite al número de DSAR que puede presentar un particular. Sin embargo, el controlador puede cobrar una tasa administrativa o negarse a dar curso a una solicitud considerada "excesiva", sobre todo si la solicitud es repetitiva.

El RGPD también permite al responsable del tratamiento cobrar una tasa administrativa por facilitar varias copias de los mismos datos personales.

Cada DSAR debe examinarse caso por caso, y no debe denegarse por el mero hecho de que el interesado ya la haya presentado anteriormente.

¿Cuáles son las excepciones al cumplimiento de un DSAR?

El responsable del tratamiento no está obligado a cumplir una DSAR que sea "manifiestamente infundada o excesiva". Por ejemplo, si el interesado trata deliberadamente de causar trastornos, guarda rencor a un empleado concreto o ha presentado muchas DSAR en un breve periodo de tiempo.

La legislación nacional de cada país también podría establecer excepciones al "derecho de acceso". Por ejemplo, el Anexo 2 de la Ley de Protección de Datos del Reino Unido de 2018 establece excepciones limitadas en los siguientes ámbitos:

• Delincuencia y fiscalidad
• Inmigración
• Seguridad pública

En cada caso, la excepción sólo se aplica en circunstancias específicas. Por ejemplo, cuando el cumplimiento del DSAR perjudicaría el resultado de una investigación penal.

Buenas prácticas para gestionar eficazmente los DSAR

He aquí algunos consejos para ayudar a su organización a hacer bien los DSAR:

• Aplique estrategias de gobernanza de datos para mantener los datos personales bien organizados y accesibles.
• Proporcione un formulario normalizado o un portal web para presentar los DSAR (pero recuerde que no puede obligar al interesado a utilizarlo).
• Impartir formación periódica sobre protección de datos para ayudar a los empleados a reconocer y facilitar los DSAR.
• Desarrollar una política clara y documentada para gestionar los DSAR.
• Considere la posibilidad de utilizar programas informáticos especializados que le ayuden a seguir y tramitar las solicitudes de DSAR.
• Verifique la identidad del interesado si tiene dudas razonables sobre su identidad, pero no le pida demasiados datos personales para verificarla.
• Mantenga informados a los interesados durante todo el proceso y responda dentro de los plazos obligatorios.
• Utilizar una plataforma segura de intercambio de archivos para proporcionar los datos personales solicitados, cuando proceda.

Muchos DSAR proceden de clientes insatisfechos o ex empleados agraviados. Gestionar el proceso de DSAR de forma útil y eficiente puede ayudar a mejorar la impresión que el interesado tiene de su organización. Y a la inversa, gestionar mal un DSAR puede causar daños a la reputación y problemas legales.

Garantizar el cumplimiento y la transparencia con una gestión eficaz de los DSAR

El "derecho de acceso" ha sido una forma crucial de ayudar a las personas a mantener el control de sus datos personales desde las primeras leyes de protección de datos. 

Facilitar los DSAR es una parte importante del cumplimiento del RGPD y una de las obligaciones más importantes de los responsables del tratamiento. Es comprensible que la gente se enfade si un responsable del tratamiento incumple los plazos, no facilita datos personales o rechaza un DSAR sin una razón válida.

Mediante una buena gobernanza de los datos, políticas claras de protección de datos y empleados bien informados y responsive , su organización puede hacer de los DSAR una oportunidad para fomentar la confianza de los clientes, evitando al mismo tiempo riesgos legales y daños a la reputación.

Recursos adicionales

• Oficina del Comisario de Información (ICO): Guía de acceso del sujeto
• Consejo Europeo de Protección de Datos (CEPD): Directrices 01/2022 sobre los derechos de los interesados - Derecho de acceso
• Comisión Irlandesa de Protección de Datos (CPD): Subject Access Requests: Guía del responsable del tratamiento